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内 容 提 要 


本 书 是 通过 CCNA 考试 640-802 的 权威 指南 ， 由 思科 技术 知名 权威 针对 最 新 考试 目标 编写 ， 旨 在 帮 
助 考生 全 面 掌 握 考 试 内 容 。 本 书 通 过 大 量 示例 、 动 手 实验 、 书 面试 验 、 真 实 场景 分 析 ， 全 面 介 绍 了 联网 和 
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致 读 者 


感谢 你 购买 本 书 ， 它 是 Sybex 推出 的 高 品质 系列 图 书 之 一 。 该 丛书 全 部 出 自 杰 出 作者 之 手 ， 他 们 
都 无 一 例外 地 拥有 丰富 的 实践 经 验 和 杰出 的 教学 天 赋 。 

Sybex 创建 于 1976 年 ，30 多 年 来 , 我 们 坚持 出 版 优秀 图 书 的 理念 始终 如 一 。 每 出 版 一 部 作品 , 我 
们 都 致力 于 为 出 版 行业 树立 新 标杆 。 无 论 是 挑选 印刷 用 纸 还 是 作者 ， 我 们 都 以 向 读者 提供 最 优秀 的 图 
书 为 目标 。 

但 愿 本 书 达到 了 上 述 标准 。 我 很 想 听 到 你 的 评论 和 意见 ， 所 以 如 果 你 对 本 书 或 Sybex 出 版 的 其 他 
图 书 有 任何 看 法 ， 请 通过 电子 邮件 告诉 我 ， 我 的 邮件 地 址 为 nedde@wiley.com。 另 外 ， 如 果 你 在 本 书 
中 发 现 技 术 错误 ， 请 访问 http://sybex.custhelp.com。 读 者 的 反馈 对 我 们 来 说 至 关 重 要 。 

——Neil Edde 
John Wiley & Sons 公司 副 总 裁 兼 发 行人 


余生 


欢迎 来 到 激动 人 心 的 思科 认证 世界 。 你 阅读 本 书 肯定 是 希望 在 某 些 方面 改善 现状 ， 具 体 地 说 就 是 
希望 谋求 更 好 的 工作 。 你 的 决策 无 疑 是 正确 的 。 思 科 认 证 有 助 于 你 获得 第 一 份 网 络 方面 的 工作 ， 如 果 
你 已 进入 该 领域 ， 它 将 有 助 于 你 获得 更 高 的 薪水 和 职位 。 

思科 认证 还 可 加 深 你 对 网 络 互联 的 认识 ， 这 不 仅仅 针对 思科 产品 ， 而 是 对 网 络 技术 以 及 如 何 结合 
使 用 各 种 网 络 拓扑 来 构建 网 络 等 方面 的 全 面 认 识 。 这 将 惠及 每 个 网 络 职位 ， 也 是 思科 设备 不 多 的 公司 
也 三 需 思 科 认 证 的 原因 所 在 。 

思科 是 路 由 选择 、 交 换 和 安全 领域 的 王者 ， 乃 网 络 互联 领域 的 微软 。 不 同 于 CompTIA 和 微软 认 
证 等 其 他 流行 的 认证 ， 思 科 认 证 对 理解 当今 网 络 、 洞 察 思科 网 络 互联 领域 来 说 不 可 或 缺 。 如 果 你 决定 
要 获得 思科 认证 ， 相 当 于 发 出 了 要 ( 在 路 由 选择 和 交换 方面 ) 做 到 最 好 的 宣言 ， 而 本 书 将 引领 你 沿 这 
个 方向 前 行 。 


要 获悉 有 关 CCNA 认证 考试 更 新 和 增补 的 最 新 信息 以 及 其 他 的 学 习 工 具 和 复习 
注意 ” 题 ， 请 务必 访问 Todd Lammle 论坛 和 网 站 www.lammle.com。 


思科 网 络 认 证 


最 初 , 要 获得 人 人 渴望 的 思科 CCIE 认证 , 首先 要 通过 一 门 考 试 , 然后 面临 难度 极 大 的 动手 实验 。 
这 是 一 种 要 么 大 获 成 功 、 要 么 功 败 垂 成 的 认证 方式 ， 成 功 通过 认证 的 难度 非常 大 。 

鉴于 通过 率 极 低 ， 思 科 制 定 了 一 系列 新 认证 ， 旨 在 帮助 考生 获得 梦 裕 以 求 的 CCIE 认证 ， 并 帮助 
雇主 检测 潜在 雇员 的 技能 水 平 。 这 些 新 认证 让 考生 能 够 更 好 地 为 高 难度 动手 实验 做 准备 ， 使 思科 敞开 
了 原本 只 有 很 少 人 才能 通过 的 大 门 。 


ON 


本 书 涵盖 了 与 CCNA 路 由 选择 和 交换 相关 的 方方面面 的 知识 ， 有 关 CCENT、 
注意 ”CCNA、CCNP 和 CCIE 认 证 的 最 新 信息 ,请 访问 www.lammle.com 和 www.globalnettc.com。 


CCNA 


CCNA ( Cisco Certified Network Associate， 思 科 认 证 网 络 工程 师 ) 认证 是 思科 认证 过 程 的 第 一 步 ， 
是 当今 所 有 思科 认证 的 前 提 。 当 前 ,要 获得 CCNA 认证 ， 只 需 购买 本 书 ， 再 参加 一 门 考试 (640-802， 


2 前 


全 


250 美元 ) 或 两 门 考 试 ( 640-816 和 640-822， 每 门 125 美元 ), 然而 CCNA 考试 非常 难 且 涉及 面 极 广 ， 
所 以 你 必须 精通 这 些 内 容 ! 考生 参加 思科 课程 培训 或 花 数 月 进行 实践 的 情况 很 常见 。 

获得 CCNA 认证 后 ， 不 必 就 此 止步 ， 你 还 可 继续 学 习 并 获得 更 高 级 别 的 认证 一 一 CCNP (Cisco 
Certified Network Professional, 思科 认证 的 资深 网 络 工程 师 ), 获得 CCNP 认证 的 人 通常 具备 参加 CCIE 
实验 考试 所 需 的 全 部 技能 和 知识 ， 然 而 ， 仅 获得 CCNA 认证 就 可 帮助 你 找到 曾经 梦 几 以 求 的 工作 。 


为 何 要 成 为 CCNA 


不 同 于 微软 以 及 其 他 提供 认证 的 厂商 ， 思 科 制 定 的 认证 流程 则 在 帮助 管理 员 掌握 一 系列 技能 ， 并 
给 雇主 提供 一 种 衡量 这 些 技能 的 方法 和 标准 。 成 为 CCNA 是 迈 上 成 功 的 第 一 步 , 可 让 你 获得 高 薪 职 位 ， 
踏 上 可 持续 发 展 的 职业 道路 。 

制订 CCNA 认证 计划 的 主旨 是 在 介绍 思科 IOS ( Internetwork Operating Systerm， 互 联网 络 操作 系 
统 ) 和 思科 设备 的 同时 全 面 介绍 网 络 互联 技术 ， 从 而 让 你 全 面 认 识 网 络 ， 而 不 局 限于 思科 领域 。 从 这 
种 意义 上 说 ， 即 使 是 没有 思科 设备 的 网 络 公 司 也 可 能 要 求 应 聘 者 获得 思科 认证 。 

获得 CCNA 认证 后 ， 如 果 仍 对 思科 和 网 络 互 联 感 兴趣 ， 你 就 踏 上 了 成 功 之 路 。 


成 为 CCNA 需要 具备 的 技能 


要 达到 CCNA 认证 要 求 的 技能 水 平 ， 必 须 能 够 理解 或 完成 下 述 工 作 。 

口 安装 、 配 置 并 安全 地 操作 LAN、WAN 和 无 线 接 人 服务 ; 配置 中 小 型 网 络 ( 不 超过 $00 个 节点 )， 
使 其 获得 更 好 的 性 能 并 排除 其 中 的 故障 。 

口 使 用 IP、IPv6、EIGRP、RIP、RIPv2 和 OSPF 等 协议 ; 理解 申 行 连接 、 帧 中 继 、VPN、 有 线 
电视 连接 、DSL、PPPoE、LAN 交换 、VLAN、VTP、STP、 以 太 网 、 安 全 和 访问 列表 。 


如 何 成 为 CCNA 


要 成 为 CCNA， 只 需 通过 一 个 小 型 考试 (CCNA 综合 考试 640-802 )。 你 难道 不 希望 如 此 容易 吗 ? 
虽然 确实 只 需 通过 一 门 考试 ， 但 你 必须 掌握 足够 的 知识 才能 读 懂 考题 。 . 

然而 , 思科 还 提供 了 分 两 步 成 为 CCNA 的 途径 , 这 可 能 比 参加 一 次 更 长 的 考试 容易 。 本 书 是 针对 
参加 一 门 考试 ( 640-802 ) 的 情况 编写 的 ， 但 涵盖 了 这 3 门 考试 所 需 的 知识 。 

分 两 步 通过 CCNA 认证 时 ， 需 要 通过 如 下 考试 : 

口 考试 640-822: 思科 网 络 设备 互联 (ICNDI ); 

口 考试 640-816: 思科 网 络 设备 简介 〈ICND2 )。 

具备 一 些 实际 使 用 思科 路 由 器 的 经 验 至 关 重 要 ， 这 一 点 无 论 如 何 强调 都 不 过 分 。 为 此 ， 只 需 有 一 
些 基本 路 由 器 或 思科 Pocket Tracer 软件 ， 但 如 果 没 有 也 没有 关系 ， 本 书 所 提供 的 数 百 个 配置 示例 就 可 
帮助 网 络 管理 员 (或 想 成 为 网 络 管理 员 的 人 ) 掌握 通过 CCNA 考试 所 需 的 知识 。 

鉴于 640-802 考试 很 难 ， 思 科 想 给 分 两 步 通 过 CCNA 认证 的 考生 以 奖赏 ， 至 少 看 起 来 如 此 。 通 过 
ICND1 考试 后 ， 你 将 获得 CCENT ( Cisco Certified Entry Networking Technician， 思 科 认 证 的 入 门 级 网 
络 技术 员 ) 认证 ， 这 是 通过 CCNA 认证 的 第 一 步 ， 要 获得 CCNA 认证 ， 还 需 通过 ICND2 考试 。 


前 言 3 


这 里 需要 再 次 声明 的 是 ， 本 书 是 为 参加 CCNA 综合 考试 640-802 的 考生 编写 的 ， 即 只 需 通过 一 门 


考试 ， 就 可 获得 CCNA 认证 的 人 。 


NE EN ES EEO GOONE SENTING 


CCSI Todd Lammle 开设 了 思科 授权 的 动手 实验 培训 , 参见 www.globalnetc.com。 
注意 ”在 该 培训 中 ， 每 名 学 生 都 将 动手 配置 至 少 三 台 路 由 器 和 两 台 交 换 机 ， 且 每 台 设 备 都 
AN 只 供 一 名 学 生 使 用 。 


本 书 内 容 


本 书 涵盖 了 通过 CCNA 考试 640-802 需要 知道 的 各 种 知识 ， 但 要 成 功 通过 这 门 考试 ， 花 时 间 研 究 


并 实际 使 用 路 由 器 或 路 由 器 模拟 器 是 关键 。 


本 书 内 容 如 下 。 

口 第 1 章 “ 网 络 互联 概述 网 络 互联 , 你 将 以 思科 希望 的 方式 学 习 OSI( Open Systems Interconnection， 
开放 系统 互联 ) 模型 的 基本 知识 。 本 章 还 有 书面 实验 和 大 量 复习 题 给 你 提供 帮助 ， 请 勿 跳 过 
本 章 的 基本 书面 实验 。 

口 第 2 章 “ 以 太 网 和 数据 封装 ”， 深入 探讨 以 太 网 技术 和 标准 ， 并 详细 讨论 数据 封装 ， 还 有 书面 
实验 和 大 量 复 习题 给 你 提供 帮助 。 

口 第 3 章 “TCP/IP 简介 ”， 讨论 TCP/IP， 为 你 通过 CCNA 考试 和 完成 实际 工作 提供 必要 的 背景 
知识 。 该 章 首 先 探讨 因特网 协议 (IP ) 栈 ， 然 后 详细 介绍 人 P 编 址 ， 以 及 网 络 地 址 和 广播 地 址 
的 差别 ， 最 后 阐述 网 络 故 障 排除 。 

口 第 4 章 “ 轻 松 划 分 子 网 ” ， 概 述 简单 的 子 网 划分 ， 阅 读 该 章 后 ， 你 将 能 够 通过 (心算 进行 ) 子 
网 划分 。 本 章 的 书面 实验 和 复习 题 对 你 有 极 大 帮助 。 

口 第 5 章 “ 变 长 子 网 掩 码 (VLSM 汇总 和 TCP/IP 故障 排除 ” ,介绍 VLSM( Variable Length Subnet 
Mask， 变 长 子 网 掩 码 )、 如 何 设计 使 用 VLSM 的 网 络 以 及 路 由 汇总 及 其 配置 。 与 第 4 章 一 样 ， 
其 中 的 书面 实验 和 复习 题 对 你 有 极 大 帮助 。 

口 第 6 章 “ 思 科 互 联网 络 操作 系统 (IOS ,介绍 思科 IOS 和 CLI (Command-Line Interface， 命 
令 行 界面 )， 你 将 学 习 如 何 开 启 路 由 器 以 及 进行 基本 的 IOS 配置 ， 包 括 设置 密码 、 旗 标 等 。 本 
章 的 动手 实验 有 助 于 读者 牢固 掌握 本 章 介绍 的 概念 ， 但 进行 这 些 动手 实验 前 ， 请 务必 完成 书 
面 实验 和 复习 题 。 

口 第 7 章 “ 管 理 思科 互联 网 络 ”， 介 绍 运 行 思科 IOS 网 络 所 需 的 管理 技能 ， 包 括 备份 和 恢复 IOS 
以 及 路 由 器 配置 ， 并 介绍 了 确保 网 络 正 常 运行 所 需 的 故障 排除 工具 。 进 行 本 章 的 动手 实验 前 ， 
请 务必 完成 书面 实验 和 复习 题 。 

口 第 8 章 “IP 路由”, 介绍 人 P 路 由 选择 。 这 一 章 很 有 趣 ， 因 为 我 们 将 开始 组 建 网 络 、 添 加 全 地 
址 并 在 路 由 器 之 间 路 由 数据 。 你 还 将 学 习 静 态 路 由 、 默 认 路 由 以 及 如 何 使 用 RIP 和 RIPv2 进 
行动 态 路 由 选择 。 本 章 的 动手 实验 、 书 面 实 验 和 复习 题 将 帮助 你 全 面 认识 全 路 由 选择 。 

口 第 9 章 “ 增 强 IGRP (EIGRP ) 和 开放 最 短路 径 优先 (OSPF 》”, 深入 探讨 如 何 使 用 增强 的 IGRP 
和 OSPF 进行 更 复杂 的 动态 路 由 选择 , 其 中 的 动手 实验 、 书 面 实 验 和 复习 题 将 帮助 你 掌握 这 些 
路 由 选择 协议 。 
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口 第 10 章 “ 第 2 层 交 换 和 生成 树 协议 (STP》， 介 绍 第 2 层 交 换 的 背景 知识 以 及 交换 机 如 何 获 
悉 地 址 以 及 作出 转发 和 过 滤 决 策 , 还 将 讨论 网 络 环 路 及 如 何 使 用 STP ( Spanning Tree Protocol， 
生成 树 协议 ) 避免 网 络 环 路 ， 最 后 将 讨论 RSTP 版 802.1w。 请 务必 完成 书面 实验 和 复习 题 ， 
确保 你 确实 理解 第 2 层 交 换 。 

口 第 11 章 “虚拟 局 域 网 ”, 十 分 重要 ,将 介绍 虚拟 LAN 及 如 何在 互联 网 络 中 使 用 它们 ,包括 VLAN 
的 本 质 、 涉 及 的 各 种 概念 和 协议 以 及 VLAN 故障 排除 ;并且 还 将 讨论 语音 VLAN 和 QoS。 书 
面 实 验 和 复习 题 将 帮助 巩固 这 些 VLAN 知识 。 

口 第 12 章 “ 安 全 ”, 介绍 安全 和 访问 列表 。 访 问 列表 是 在 路 由 器 上 创建 的 ， 用 于 过 滤 网 络 。 本 
章 将 详细 讨论 IP 标准 访问 列表 、 扩 展 访问 列表 和 命名 访问 列表 。 本 章 的 书面 实验 、 动 手 实验 
和 复习 题 将 帮助 你 学 习 CCNA 综合 考试 的 安全 和 访问 列表 方面 的 知识 。 

口 第 13 章 “网 络 地 址 转换 (NAT》》， 介 绍 NAT (Network Address Translation， 网 络 地 址 转换 )。 
作为 对 我 之 前 最 新 CCNA 著作 的 修订 ， 本 章 内容 多 年 前 就 在 Sybex 网 站 发 布 了 ， 但 我 对 其 进 
行 了 修订 并 放 到 了 本 书 这 一 版 中 。 新 增 的 信息 、 命 令 、 故 障 排除 示例 和 动手 实验 将 帮助 你 牢 
固 掌 握 CCNA 考试 中 与 NAT 相关 的 主题 。 

口 第 14 章 “ 思 科 无 线 技术 ”， 介绍 无 线 技术 。 该 章 从 思科 的 角度 概述 了 无 线 技术 ， 涵 盖 了 一 些 
关于 思科 最 新 设备 的 高 级 无 线 主题 。 当 前 ， 思 科 CCNA 考试 未 涉及 这 些 高 级 无 线 设备 ,但 以 
后 情况 可 能 改变 。 务 必要 理解 诸如 接 人 点 和 客户 端 等 基本 无 线 技 术 以 及 802.11a、802.11b 和 
802.11g 之 间 的 差别 。 

口 第 15 章 “IPv6”, 介绍 IPvV6。 这 一 章 很 有 趣 ， 包含 一 些 重要 信息 。 大 多 数 人 认为 Pv6 是 个 庞 
大 而 令 人 恐怖 的 怪物 ， 但 实际 上 并 非 如 此 。 最 新 的 CCNA 考试 涉及 IPv6， 因 此 请 务必 仔细 研 
究 本 章 。 男 外 ， 请 注意 www.lammle.com 提供 的 最 新 更 新 。 

口 第 16 章 “ 广 域 网 ”， 重 点 关注 思科 WAN ( Wide Area Network， 广域网 ) 协议 ,深入 探讨 了 
HDLC、PPP 和 帧 中 继 , 还 介绍 了 VPN 和 IPSec。 要 成 功 通过 CCNA 考试 ,必须 熟练 掌握 这 些 
协议 。 请 务必 完成 这 一 章 的 书面 实验 、 复 习题 和 动手 实验 。 


如 何 使 用 本 书 


如 果 你 想 严肃 对 待 CCNA 综合 考试 640-802 并 做 好 扎实 的 准备 工作 ， 请 不 要 再 观望 了 , 本 书 恰 能 
满足 你 的 需求 。 我 花 了 大 量 时 间 编 写本 书 , 唯一 的 目的 就 是 帮助 你 通过 CCNA 考试 并 学 会 配置 思科 路 
由 器 和 交换 机 。 

本 书 涵盖 了 大 量 宝贵 信息 ， 知 道 本 书 的 编写 思路 后 ， 你 将 能 最 有 效 地 利用 学 习 时 间 。 

为 最 有 效 地 利用 本 书 ， 建 议 采 用 如 下 学 习 方 法 。 

(1) 阅读 前 言 后 立刻 完成 评估 测试 (后面 提供 了 答案 )。 即 使 一 道 题 都 不 会 做 也 没有 关系 ， 不 然 你 
为 何 要 购买 本 书 呢 ! 对 于 答 错 的 题目 ， 请 仔细 阅读 答案 解析 ， 并 记 下 介绍 相关 内 容 的 章 号 。 这 些 信息 
将 有 助 于 你 制订 学 习 计 划 。 

(2) 仔细 阅读 每 一 章 ， 确 保 完 全 掌握 各 章 的 内 容 和 其 开头 指出 的 考试 目标 。 要 特别 注意 与 答 错 的 
考题 内 容 相 关 的 各 章 。 

(3) 完成 每 章 末 尾 的 书面 实验 。 绝 不 要 跳 过 这 些 书 面 实 验 ， 它 们 与 CCNA 考试 关系 紧密 ， 并 指出 
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了 相关 各 章 中 你 必须 了 解 的 知识 。 再 重申 一 遍 ， 万 不 可 跳 过 这 些 书 面 实验 ! 请 确保 自己 完全 明白 每 一 
答案 的 来 由 。 

(4) 完成 每 章 的 动手 实验 ， 并 参考 正文 ， 以 理解 执行 每 个 步骤 的 原因 。 尽 可 能 在 实际 设备 上 完成 
这 些 实验 ， 如 果 没 有 思科 设备 ， 可 下 载 思科 路 由 器 模拟 软件 Packet Tracer， 并 使 用 它 完 成 所 有 的 动手 
实验 ， 以 掌握 思科 认证 知识 。 

(5) 回答 每 章 的 所 有 复习 题 (答案 见 每 章 末 尾 )。 将 搞 不 懂 的 复习 题记 录 下 来 ， 并 复习 与 之 相关 的 
主题 。 千 万 不 要 跳 过 这 些 复 习题 ， 并 请 确保 自己 完全 明白 每 个 答案 的 来 由 。 别 忘 了 ， 这 些 复习 题 并 不 
会 真正 出 现在 考试 中 ， 而 只 能 帮助 你 理解 每 章 的 内 容 。 

(6) 尝试 完成 配套 光盘 ?中 的 模拟 试题 ， 这 些 模 拟 试题 只 在 配套 光盘 中 有 。 要 获得 更 多 思科 模拟 试 
题 ， 请 访问 www.lammle.com。 

(7) 笔者 录制 了 CCNA 视频 系列 ， 配 套 光 盘 包含 前 3 个 CD 的 第 一 个 模块 ，CCNA 视频 系列 涵盖 
了 网 络 互联 、TCP/IP 和 子 网 划分 。 配 套 光 盘 上 的 内 容 对 通过 CCNA 考试 至 关 重要 。 另 外 ， 我 还 在 配 
套 光 盘 中 提供 了 自己 的 CCNA 教学 音频 的 部 分 内 容 。 请 务必 观看 这 些 音频 和 视频 。 


这 只 是 www.lammlepress.com 提供 的 音频 和 视频 的 预览 版 ， 而 不 是 完整 版 ， 但 
注意 ” 仍 很 有 价值 ， 包 含 丰 富 的 内 容 。 


(8) 使 用 配套 光盘 中 的 电子 抽 认 卡 进行 自 测 。 这 些 电子 抽 认 卡 经 过 了 全 面 更 新 ， 旨 在 帮助 你 备考 
CCNA， 是 很 好 的 学 习 工具 ! 

要 全 面 学 习 本 书 的 内 容 ， 必 须 专 心 致 志 、 持 之 以 恒 。 请 尽 可 能 每 天 都 在 固定 的 时 段 进 行 学 习 ， 并 
选择 安静 、 舒 适 的 学 习 地 点 。 只 要 刻苦 努力 ， 你 将 惊讶 于 自己 的 学 习 进 度 。 

只 要 按 上 述 要 求 认真 学 习 ， 每 天 完成 动手 实验 ， 除 此 之 外 做 复习 题 、 模 拟 试题 和 书面 实验 ， 观 看 
Todd Lammle 的 视频 /音频 , 并 充分 利用 电子 抽 认 卡 , 就 是 想 不 通 过 CCNA 考试 都 难 ! 然而 , 备考 CCNA 
犹如 塑身 一 一 如 果 不 坚持 每 天 去 健身 房 ， 就 不 可 能 成 功 。 | 


配套 光盘 的 内 容 


经 过 Sybex 工作 人 员 和 笔者 的 艰苦 努力 ， 我 们 提供 了 一 些 很 好 的 工具 ,希望 帮助 读者 为 认证 考试 做 
准备 。 在 备考 期 间 ， 读 者 应 将 下 述 所 有 工具 都 安装 到 计算 机 中 。 作 为 补充 材料 ， 配 套 光 盘 还 包含 笔者 的 
CCNA 视频 和 音频 系列 的 预览 版 ! 虽然 不 是 完整 版 ， 但 作为 免费 提供 的 材料 ， 它 们 还 是 很 有 价值 的 。 


Sybex 备考 软件 


备考 软件 可 帮助 你 为 通过 CCNA 考试 做 好 准备 。 这 个 考试 引 敬 包含 书 中 所 有 的 评估 题 和 复习 题 ， 
还 有 两 套 模拟 题 ， 其 中 包含 140 道 试题 ， 这 些 试题 只 能 在 配套 光盘 中 找到 。 


中 光盘 勘误 见 图 灵 社 区 ( www. ituring. com.cn ) 本 书页 面 。 一 一 编者 注 
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电子 抽 认 卡 


为 准备 考试 ， 你 可 阅读 本 书 、 研 究 每 章 末 尾 的 复习 题 并 完成 配套 光盘 中 的 模拟 考题 ， 还 可 使 用 配 
套 光 盘 中 的 200 张 抽 认 卡 进 行 自 测 。 抽 认 卡 中 的 题目 较 难 , 如 果 能 正确 回答 这 些 问题 并 理解 其 所 以 然 ， 
就 说 明 你 为 CCNA 考试 做 好 了 充分 准备 。 

配套 光盘 包含 200 张 抽 认 卡 ， 旨 在 挑战 你 的 极限 ， 确 保 你 为 考试 做 好 了 准备 。 如 果 能 正确 地 完成 
复习 题 以 及 配套 光盘 中 的 模拟 题 和 抽 认 卡 ， 通 过 CCNA 考试 就 根本 不 在 话 下 。 


补充 材料 


配套 光盘 中 的 补充 材料 包含 丰富 的 信息 ,涉及 SDM 和 CC、 安 全 威胁 的 识别 和 缓解 、 路 由 身份 验 
证 、 第 3 层 交 换 和 交换 类 型 以 及 CCNA 考试 模拟 实验 ( 它 可 能 是 最 有 用 的 学 习 工具 )。 在 备考 CCNA 
期 间 ， 请 务必 阅读 这 些 补充 材料 。 要 获取 最 新 的 信息 和 新 的 补充 材料 ， 请 访问 www.lammle.com。 


Todd Lammle 视频 


笔者 录制 了 完整 的 CCNA 视频 系列 ， 并 以 DVD 和 下 载 ( www.lammlepress.com ) 方式 销售 。 作 为 
随 本 书 附 赠 的 礼物 ， 配 套 光盘 以 预览 版 的 形式 提供 了 该 视频 系列 的 第 一 个 模块 。 虽 然 不 是 完整 版 , 但 
视频 时 长 超过 1 小 时 ,讲解 了 最 基本 的 CCNA 知识 ， 值 149 美元 ! 请 务必 观看 该 视频 ， 它 讲解 了 网 络 
互联 、TCP/IP 和 子 网 划分 ， 这 些 知 识 对 通过 CCNA 考试 至 关 重 要 。 


Todd Lammle 音频 


除 免费 视频 外 , 配套 光盘 还 提供 了 笔者 录制 的 CCNA 音频 系列 的 预览 版 , 该 音频 系列 价值 199 美 
元 ! 这 是 一 个 很 好 的 学 习 工 具 ， 有 助 于 你 通过 CCNA 考试 。 


要 获取 Todd Lammle 的 更 多 视频 和 音频 讲座 以 及 其 他 思科 学 习 资 料 ， 请 访问 
注意 www.lammlepress.com。 


去 哪里 考试 


考生 可 前 往 Pearson VUE 授权 的 任何 一 个 考试 中 心 参加 CCNA 综合 考试 ， 更 详细 的 信息 请 访问 
www.vue.com 或 致电 877-404-3926。 

要 注册 参加 CCNA 考试 ， 请 按 如 下 步骤 操作 。 

(1) 确定 要 参加 的 考试 的 编号 (CCNA 考试 的 编号 为 640-802 )。 

(2) 前 往 最 近 的 Pearson VUE 考试 中 心 进行 注册 。 在 注册 期 间 ， 你 需要 提前 缴纳 考试 费 。 编 写本 书 
期 间 ， 考 试 费 为 250 美元 ， 缴 费 后 一 年 内 有 效 。 最 长 可 提前 6 周 预约 考试 时 间 ， 并 且 考 生 可 预约 当天 
的 考试 ， 但 如 果 未 通过 思科 考试 ， 至 少 要 等 待 5 天 后 才能 重 考 。 如 果 有 事 需 要 取消 或 重新 预约 考试 ， 
必须 至 少 提前 24 小 时 与 Pearson VUE 联系 。 

(3) 预约 考试 后 ， 你 将 获悉 预约 的 时 间 及 取消 流程 、 需要 携带 的 身份 证 明 以 及 考试 中 心 的 位 置 。 


CCNA 考试 技巧 


CCNA 综合 考试 包含 55 ~ 60 道 考题 ， 考 生 必 须 在 75 一 90 分 钟 内 完成 ， 考 题 数 和 考试 时 长 可 能 随 
每 次 考试 而 蜡 。 正 确 率 必 须 超过 大 约 85% 考 生 才 能 通过 考试 ， 但 这 也 可 能 随 每 次 考试 而 异 。 
很 多 考题 的 答案 乍 一 看 都 差不多 ,尤其 是 语法 题 ! 请 务必 仔细 阅读 每 个 答案 ， 因 为 光 差 不 多 不 管 
用 。 即 使 输入 命令 的 顺序 不 对 或 遗漏 了 一 个 无 关 紧 要 的 字母 ， 你 也 会 被 判 错 。 因 此 ， 请 务必 反复 练习 
每 章 末 尾 的 动手 实验 ， 直 到 得 心 应 手 为 止 。 
另外 ， 别 忘 了 ， 哪 个 答案 正确 由 思科 说 了 算 。 在 很 多 情况 下 ， 有 多 个 合适 的 答案 ， 但 只 有 思科 推 
荐 的 答案 才 是 正确 的 。 考 题 总 是 让 你 选择 1 个 、2 个 或 3 个 正确 的 答案 ， 而 绝 不 会 让 你 选择 所 有 合适 
的 答案 。CCNA 综合 考试 包含 的 题 型 如 下 : 
口 单 选 题 ; 
口 多 选 题 ; 
口 拖 放 题 ; 
口 填空 题 ; 
口 路 由 器 模拟 题 。 . 
思科 考试 不 会 列 出 完成 路 由 器 接口 配置 所 需 的 步 又 ， 但 允许 使 用 简写 命令 ， 例 如 show config、 
sho config 和 sh conf 都 可 以 。 另 外 ，Router#show ip protocol 和 router#show ip prot 也 
都 可 以 。 
下 面 是 一 些 成 功 通过 考试 的 技巧 。 
口 提前 到 达 考 斌 中心， 以 便 有 时 间 放 松 自己 、 复 习 学 习 材料 。 
口 仔细 阅读 考题 ， 不 要 急于 作答 。 请 确保 自己 准确 地 理解 了 考题 ， 我 总 是 跟 学 生 讲 : 三 思 后 
作答 。 
口 对 于 没有 把 握 的 选择 题 ， 首 先 采用 排除 法 将 明显 不 对 的 答案 排除 。 在 需要 做 出 有 根据 的 猜测 
时 ， 这 种 做 法 可 极 大 地 提高 准确 率 。 
口 在 思科 考试 中 ， 不 能 来 回 翻阅 ， 所 以 在 单 击 Next 按钮 前 请 务必 核实 答案 ， 因 为 一 旦 单 击 Next 
按钮 ， 就 不 能 改变 主意 了 。 
考试 结束 后 ， 考 生 将 马上 得 到 在 线 通 知 ， 获 知 自 己 是 否 通过 了 考试 。 考 试管 理 人 员 还 会 给 考生 一 
张 打印 的 成 绩 报告 单 ， 它 会 指出 考生 是 否 通过 了 考试 ， 并 列 出 各 部 分 的 得 分 情况 。 考 试 结束 后 的 5 个 
工作 日 内 ， 考 试 成 绩 将 自动 发 送 给 思科 ， 而 不 需要 考生 自己 发 送 。 如 果 考 生 通 过 了 考试 ， 他 将 收 到 思 
科 的 确认 ， 这 通常 在 2 一 4 周 内 ， 但 有 时 更 长 些 。 


与 作者 联系 
读者 可 通过 作者 Todd Lammle 开设 的 论坛 与 其 联系 ， 该 论坛 的 网 址 为 wwwlammle .com。 
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评估 测试 


(1) PPP 使 用 哪 种 协议 来 标识 网 络 层 协议 ? 


A. NCP B. ISDN C. HDLC D.LCP 
(2) 在 Pv6 地 址 中 ， 每 个 字段 长 多 少 位? 

A.4 位 B.16 位 C.32 位 D.128 位 
(3) RSTP 提供 了 哪 种 新 的 端口 角色 ? 

A. 禁用 B. 启用 C. 丢弃 D. 转发 
(4) 命令 routerACconfig)#1ine cons 0 允许 你 接 下 来 做 什么 ? 

A. 设置 Telnet 密码 B. 关闭 路 由 器 

C. 设置 控制 台 密码 D. 禁用 控制 台 连 接 
(5) IPv6 地 址 多 长 ? 

A.32 位 B. 128 B -C. 64 位 D. 128 位 
(6) 哪 种 PPP 协议 提供 了 动态 编 址 、 身 份 验证 和 多 链 路 功能 ? 

A.NCP B. HDLC C.LCP D.X.25 
(7) 哪个 命令 会 显示 接口 的 线路 状态 、 协 议 状态 、DLCI 和 LMI 信息 ? 

A. sh pvc B. show interface 

C. Show frame-relay pvc D. sho runn 
(8) 下 面 哪 项 是 IP 地 址 192.168.168.188 255.255.255.192 所 属 子 网 的 有 效 主机 地 址 范围 ? 

A. 192.168.168.129-190 B. 192.168.168.129-191 

C. 192.168.168.128-190 D. 192.168.168.128-192 


(9) 命令 passive 给 动态 路 由 选择 协议 RIP 提供 了 什么 功能 ? 
A. 禁止 接口 收发 定期 的 动态 更 新 
B. 禁止 接口 发 送 定期 的 动态 更 新 ， 但 不 禁止 它 接收 更 新 
C. 禁止 路 由 器 接收 任何 动态 更 新 
D. 禁止 路 由 器 发 送 任何 动态 更 新 


(10) ping 使 用 下 面 哪 种 协议 ? 
A.TCP B. ARP C. ICMP D. BootP 
(11) 使 用 包含 12 个 端口 的 交换 机 对 网 络 进行 分 段 时 ， 将 形成 多 少 个 冲突 域 ? 
.I 外 B.2 个 C.5 个 D. 12 个 


(12) 下 面 哪个 命令 让 你 能 够 在 思科 路 由 器 上 设置 Telnet 密码 ? 
A. line telnet 0 4 B.line aux 0 4 C.line vty 0 4 D. line con 0 


2 评估 测试 


(13) 下 面 哪个 路 由 器 命令 让 你 能 够 查看 所 有 访问 控制 列表 的 完整 内 容 ? 


A. show all access-lists B. show access-lists 
C. show ip interface D. show interface 
(14) VLAN 有 何 作用 ? 
A. 充当 前 往 所 有 服务 器 的 最 快 端 口 B. 在 一 个 交换 机 端口 上 提供 多 个 广播 域 


C. 在 第 2 层 交 换 型 互联 网 络 中 分 割 广播 域 D. 在 一 个 冲突 域 中 提供 多 个 广播 域 
(15) 要 删除 存储 在 NVRAM 中 的 配置 ， 可 使 用 哪个 命令 ? 


A. erase startup B. erase nvram 

C. delete nvram D. erase running 
(16) 下 面 哪 种 协议 用 于 向 源 主机 发 送 “ 目 标 网 络 未 知 ” 消 息 ? 

A. TCP B. ARP C. ICMP D. BootP 
(17) 默认 情况 下 ， 哪 类 IP 网 络 包含 的 主机 地 址 最 多 ? 

A.A 类 B.B 类 C.C 类 D. A 类 和 B 类 
(18) 第 2 层 设备 每 隔 多 长 时 间 发 送 一 次 BPDU? 

A. 从 不 发 送 B. 每 隔 两 秒 C. 每 隔 10 分 钟 D. 每 隔 30 秒 


(19) 下 面 哪 种 有 关 VLAN 的 说 法 是 正确 的 ? 
A. 默认 情况 下 ， 在 所 有 思科 交换 机 上 都 配置 了 两 个 VLAN 
B. 仅 当 交换 型 互联 网 络 使 用 的 全 部 是 思科 交换 机 时 ，VLAN 才 管 用 ， 不 允许 使 用 杂牌 交换 机 
C. 一 个 VIP 域 包含 的 交换 机 不 应 超过 10 台 
D. VTP 用 于 将 VLAN 信息 发 送 给 当前 VTP 域内 的 交换 机 
(20) 下 面 哪 种 WLAN IEEE 规范 使 用 2.4 GHz 2 A 54 Mbit/s? 


A.A B.B D.N 
(21) 使 用 包含 12 个 端口 的 交换 机 对 网 络 进行 分 段 时 ， 将 形成 允 少 个 上 播 域 ? 
1 个 B.2 个 G5 个 D. 12 个 


(22) 在 只 有 一 个 公有 IP 地 址 的 情况 下 ， 要 让 很 多 用 户 都 能 够 连接 到 因特网 ， 可 使 用 哪 种 类 型 的 网 络 地 
址 转换 ? 


A. NAT B. 静态 C. 动态 D.PAT 
(23) 下 面 哪 两 种 协议 用 于 在 交换 机 上 配置 中 继 ? 

A. VLAN 中 继 协议  B. VLAN C. 802.1Q D. ISL 
(24) 末节 网 络 指 的 是 什么 ? 


A. 有 多 个 出 口 的 网 络 

B. 有 多 个 人 口 和 出 口 的 网 络 

C. 只 有 一 个 入 口 且 没有 出 口 的 网 络 

D. 只 有 一 个 人 口 和 一 个 出 口 的 网 络 
(25) 集线器 运行 在 OSI 模型 的 哪 一 层 ? : 

A. 会话 层 B. 物理 层 C. 数据 链 路 层 D. 应 用 层 
(26) 访问 控制 列表 分 哪 两 大 类 ? 

A. 标准 访问 控制 列表 

B. IEEE 访问 控制 列表 

C. 扩展 访 问 控制 列表 

D. 专用 访问 控制 列表 


评估 测试 3 
(27) 要 备份 IOS， 可 使 用 哪个 命令 ? 


A.backup I0OS disk B. copy ios tftp 
C. copy tftp flash D., copy flash tftp 
(28) 要 备份 配置 ， 可 使 用 哪个 命令 ? 
A. copy running backup B. copy running-config startup-config 
C. config mem D.wr mem 


(29) 开发 OSI 模 型 的 主要 目的 是 什么 ? 

A. 开发 一 个 比 DoD 模型 大 的 分 层 模型 

B. 让 应 用 程序 开发 人 员 只 可 以 每 次 修改 一 层 的 协议 

C. 让 不 同 的 网 络 能 够 相互 通信 

D. 让 思科 能 够 使 用 该 模型 
(30) ey 在 传输 层 使 用 哪 种 协议 ? 

B. TCP C. UDP D. ARP 
(31) 信 果 哮 由 器 有 CSU/DSU 协同 工作 ， 为 将 其 串 行 链 路 的 时 钟 频率 设置 为 64 000bits， 需 要 使 用 哪个 
命令 ? 

A. RouterA(config)#bandwidth 64 

B. RouterA(Cconfig-if)#bandwidth 64000 

C. RouterA(Cconfig)#clockrate 64000 

D. RouterA(Cconfig-if)#clock rate 64 

E. RouterAKCconfig-if)#clock rate 64000 
(32) 要 确定 在 特定 接口 上 是 否 应 用 了 中 访问 控制 列表 ， 可 使 用 哪个 命令 ? 


A. show access-lists B. show interface 

C. show ip interface D, show interface access-lists 
(33) 要 升级 思科 路 由 器 的 IOS， 可 使 用 哪个 命令 ? 

A. copy tftp run B. copy tftp start 

C. config net D. copy tftp flash 
(34) 协议 数据 单元 (PDU ) 是 以 什么 顺序 封装 的 ? 

A. 比特 、 帧 、 分 组 、 数 据 段 、 数 据 B. 数据 、 比 特 、 数 据 段 、 帧 、 分 组 


C. 数据 、 数 据 段 、 分 组 、 帧 、 比 特 D. 分 组 、 帧 、 比 特 、 数 据 段 、 数 据 


评估 测试 答案 


(人 DA。 网 络 控制 协议 用 于 帮助 标识 分 组 使 用 的 网 络 层 协议 。 更 详细 的 信息 请 参阅 第 16 章 。 

(2)B。 在 IPv6 地 址 中 ， 每 个 字段 长 16 位 。IPv6 地 址 总 长 128 位 。 更 详细 的 信息 请 参阅 第 15 章 。 

(3) C。 在 RSTP 中 , 使 用 的 端口 角色 包括 丢弃 、 学 习 和 转发 。 802.1d 和 RSTP 之 间 的 差别 在 于 丢弃 角色 。 
更 详细 的 信息 请 参阅 第 10 章 。 

(4) C。 命 令 1ine console 0 切换 到 一 种 配置 模式 ， 让 你 能 够 设置 控制 台 用 户 模式 密码 。 更 详细 的 信 
息 请 参阅 第 6 章 。 

(5) D。IPv6 地 址 长 128 位 ， 而 IPv4 地 址 只 有 32 位 。 更 详细 的 信息 请 参阅 第 15 章 。 

(6) C。 在 PPP 栈 中 ， 链 路 控制 协议 提供 就 动态 编 址 、 认 证 和 多 链 路 进行 协商 的 功能 。 更 详细 的 信息 请 
参阅 第 16 章 。 

(7)B。 命 令 show interface 显示 线路 状态 、 协 议 、DLCI 和 LMI 信息 。 更 详细 的 信息 请 参阅 第 16 章 。 

(8) A。256 一 192=64, 因此 块 大 小 为 64。 要 确定 子 网 , 只 需 计 算 64 的 整数 倍 : 64+64=128, 128+ 64= 192。 
子 网 为 128， 广 播 地 址 为 191， 因 此 有 效 的 主机 地 址 范围 为 129 一 190。 更 详细 的 信息 请 参阅 第 4 章 。 

(9) B。 命 令 passive 是 passive-interface 的 简写 ， 它 禁止 从 接口 向 外 发 送 定期 更 新 ， 但 接口 仍 可 
接收 更 新 。 更 详细 的 信息 请 参阅 第 8 章 。 

(10) C。ICMP 是 一 种 网 络 层 协 议 ， 用 于 发 送 回应 请 求 和 应 答 。 更 详细 的 信息 请 参阅 第 3 章 。 

(11) D。 第 2 层 交 换 在 每 个 端口 上 分 别 创建 一 个 冲突 域 。 更 详细 的 信息 请 参阅 第 1 章 。 

(12) C。 命 令 1ine vty 0 4 切换 到 一 种 配置 模式 ， 让 你 能 够 设置 或 修改 Telnet 密码 。 更 详细 的 信息 请 
参阅 第 6 章 。 

(13) B。 要 查看 所 有 访问 控制 列表 的 内 容 ， 可 使 用 命令 show access-1ists。 更 详细 的 信息 请 参阅 第 
12 章 。 

(14) C。VLAN 在 第 2 层 分 割 广播 域 。 更 详细 的 信息 请 参阅 第 11 章 。 

(15) A。 命 令 erase startup-config 删除 存储 在 NVRAM 中 的 配置 。 更 详细 的 信息 请 参阅 第 6 章 。 

(16) C。ICMP 是 一 种 网 络 层 协议 ， 用 于 向 始 发 路 由 器 回 发 消息 。 更 详细 的 信息 请 参阅 第 3 章 。 

(17) A。A 类 网 络 将 地 址 中 的 24 位 用 于 主机 编 址 。 更 详细 的 信息 请 参阅 第 3 章 。 

(18) B。 默 认 情 况 下 ， 每 隔 2 秒 就 从 所 有 活动 的 网 桥 端口 向 外 发 送 BPDU。 更 详细 的 信息 请 参阅 第 
10 章 。 

(19) D。 默 认 情况 下 ， 交 换 机 不 会 传播 VLAN 信息 ， 而 要 让 它 传播 VLAN 信息 ， 你 必须 配置 VTP 域 。 
VLAN 中 继 协 议 〈《VTP ) 用 于 通过 中 继 链 路 传播 VLAN 信息 。 更 详细 的 信息 请 参阅 第 11 章 。 

(20) C。IEEE 802.11bg 使 用 频段 2.4 GHz， 最 高 传输 速度 为 54 Mbit/s。 更 详细 的 信息 请 参阅 第 14 章 。 

(21) A。 默 认 情 况 下 ， 每 个 交换 机 端口 都 是 一 个 独立 的 冲突 域 , 但 所 有 端口 都 属于 同一 个 广播 域 。 更 详 
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细 的 信息 请 参阅 第 1 章 。 

(22) D。 端 口 地址 转换 ( PAT ) 允许 进行 一 对 多 的 网 络 地 址 转换 。 更 详细 的 信息 请 参阅 第 13 章 。 

(23) C 和 DD。VTP 不 对 ， 因 为 除非 它 通过 中 继 链 路 发 送 VLAN 信息 ， 否 则 与 中 继 毫 无 关系 。802.1Q 和 
ISL 封装 用 于 在 端口 上 配置 中 继 。 更 详细 的 信息 请 参阅 第 11 章 。 

(24) D。 末节 网 络 只 有 一 条 到 互联 网 络 的 连接 。 在 末节 网 络 中 应 配置 默认 路 由 , 否则 可 能 出 现 网 络 环 路 ， 
但 这 种 规则 也 有 例外 。 更 详细 的 信息 请 参阅 第 9 章 。 

(25) B。 集 线 器 重建 电子 信号 ， 这 是 由 物理 层 规范 的 。 更 详细 的 信息 请 参阅 第 1 章 。 

(26) A 和 C。 要 在 路 由 器 上 配置 安全 措施 , 可 使 用 标准 访问 控制 列表 和 扩展 访问 控制 列表 。 更 详细 的 信 
息 请 参阅 第 12 章 。 

(27) D。 命 令 copy flash tftp 提示 将 闪存 中 现 有 的 文件 备份 到 TFTP 主机 。 更 详细 的 信息 请 参阅 第 7 章 。 

(28) B。 用 于 对 路 由 器 配置 进行 备份 的 命令 为 copy running-config startup-config。 更 详细 的 信 
息 请 参阅 第 7 章 。 

(29) C。 开 发 OSI 模 型 的 主要 目的 是 让 不 同 网 络 能 够 互 操作 。 更 详细 的 信息 请 参阅 第 1 章 。 

(30) C。 用 户 数据 报 协议 是 传输 层 的 一 种 无 连接 网 络 服务 ，DHCP 使 用 这 种 无 连接 服务 。 更 详细 的 信息 
请 参阅 第 3 章 。 

(31) E。 需 要 将 clock rate 分 隔 开 ， 它 们 是 两 个 单词 ， 而 线路 速度 是 以 bit/s 为 单位 指定 的 。 更 详细 
的 信息 请 参阅 第 6 章 。 

(32) C。 命 令 show ip interface 指出 是 否 在 接口 上 应 用 了 入 站 或 出 站 访问 控制 列表 。 更 详细 的 信息 
请 参阅 第 12 章 。 

(33) 命令 copy tftp flash 将 文件 复制 到 闪存 中 ， 而 在 思科 路 由 器 上 ， 思 科 IOS 默认 存储 在 闪存 中 。 
更 详细 的 信息 请 参阅 第 7 章 。 

(34) PDU 封装 方法 定义 了 数据 穿越 TCP/IP 模型 的 每 层 时 如 何 对 其 进行 编码 。 在 传输 层 ， 对 数据 进行 分 
段 ， 生 成 数据 段 ; 在 网 络 层 ， 生 成 分 组 ; 在 数据 链 路 层 ， 生 成 帧 ; 最 后 ， 在 物理 层 , 将 1 和 0 编码 成 数字 
信号 。 更 详细 的 信息 请 参阅 第 2 章 。 
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网 络 互联 


本 章 涵 盖 如 下 CCNA 考试 要 点 。 

v 描述 网 络 的 工作 原理 

口 描述 各 种 网 络 设备 的 用 途 和 功能 ; 

口 选择 满足 网 络 规范 所 需 的 组 件 ; 

口 使 用 OSI 和 TCP/P 模型 及 其 相关 的 协议 解释 数据 是 如 何在 网 络 中 传输 的 ; 

口 描述 常见 的 联网 应 用 程序 ， 包 括 Web 应 用 程序 ; 

口 描述 OSI 和 TCP/IP 模型 中 各 种 协议 的 用 途 和 基本 工作 原理 ; 

口 描述 应 用 程序 (耳语 音 和 了 亚视 频 ) 对 网 络 的 影响 ; 

口 解读 网 络 示意 图 ; 

口 描述 进行 网 络 通 信和 因特网 通信 所 需 的 组 件 ; 

日 使 用 分 层 模 型 方法 找 出 并 修复 第 1 层 、 第 2 层 、 第 3 层 和 第 7 层 的 常见 故障 ; 

口 比较 LAN 和 WAN 的 工作 原理 和 特征 。 

v 配置 和 验证 VLAN 和 交换 机 间 以 及 不 同 交换 机 之 间 的 通信 ， 并 排除 其 故障 

口 解释 网 络 分 段 和 基本 的 数据 流 管理 概念 。 

v 实施 IP 编 址 方案 和 IP 服务， 以 满足 中 型 企业 分 支 机 构 的 网 络 需 求 

口 解释 DHCP 和 DNS 的 工作 原理 及 其 优点 。 

v 配置 、 验 证 思科 设备 的 基本 路 由 器 运行 方式 和 路 由 选择 ， 并 排除 这 些 方面 的 故障 

欢迎 来 到 激动 人 心 的 网 络 互 联 世界 。 本 章 重 点 介绍 如 何 使 用 思科 路 由 器 和 交换 机 连接 多 个 网 络 ， 
以 帮助 你 正确 地 理解 基本 网 络 互联 。 编 写本 章 时 ， 我 们 假设 读者 获得 了 CompTIA Network+ 认 证 或 具 
备 相应 的 知识 ， 因 此 本 章 对 网 络 互联 知识 的 回顾 ， 旨 在 让 你 全 面 掌 握 思 科 CCENT 和 CCNA 的 考试 要 
点 ， 以 帮助 你 获得 这 些 认证 。 

首先 ， 你 需要 知道 什么 是 互联 网 络 。 当 你 使 用 路 由 器 将 多 个 网 络 连接 起 来 ， 并 配置 耻 或 Pv6 逻 
辑 网 络 编 址 方案 时 ， 便 组 建 了 互联 网 络 。 

本 章 将 复习 如 下 内 容 。 

口 网 络 互联 基础 。 

口 网 络 分 段 。 

口 如 何 使 用 网 桥 、 交 换 机 和 路 由 器 对 网 络 进行 物理 和 逻辑 分 段 ? 

口 如 何 使 用 路 由 器 组 建 互 联网 络 ? 

另外 ， 本 章 还 将 剖析 OSI ( Open Systems Interconnection， 开 放 系 统 互联 ) 模型 ， 详 细 描 述 其 
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每 个 组 成 部 分 ， 因 为 你 必须 很 好 地 理解 OSI 模型 ， 以 便 为 学 习 思 科 网 络 知识 打下 坚实 的 基础 。OSI 
模型 包含 7 层 , 这 种 分 层 方式 可 使 各 种 网 络 中 的 不 同 设备 可 靠 地 通信 。 鉴 于 本 书 内 容 是 以 CCNA 认 
证 为 核心 展开 的 ， 你 必须 从 思科 的 角度 理解 OSI， 这 至 关 重要 ， 因 此 本 章 也 将 从 思科 的 角度 阐述 这 
7 层 。 

本 章 末 尾 提 供 了 20 道 复 习题 和 3 个 书面 实验 ， 旨 在 让 你 牢固 地 掌握 本 章 介绍 的 知识 ， 请 务必 完 
成 它们 。 


有 关 本 章 内 容 的 最 新 修订 ,请 访问 www.lammle.com 或 www.sybex.com/go/ccna7e。 


注意 


1.1 网 络 互联 基础 


探讨 网 络 互联 模型 以 及 OSI 参考 模型 规范 之 前 ， 你 必须 了 解 全 局 并 回答 一 个 关键 问题 : 学 习 思科 
网 络 互 联 为 何如 此 重要 ? | 

过 去 的 20 年 ， 网 络 和 网 络 技术 快速 成 长 ， 这 是 可 以 理解 的 。 它 们 必须 高 速 发 展 ， 以 便 紧 跟 基本 
的 关键 任务 用 户 和 需求 ( 包括 数据 和 打印 机 共享 ) 以 及 更 高 级 需求 ( 如 视频 会 议 等 ) 大 量 增长 的 步伐 。 
除非 需要 共享 网 络 资源 的 所 有 人 都 位 于 同一 个 办 公 区 域 (但 这 样 的 情况 越 来 越 少 了 )， 否 则 有 时 就 需 
要 将 众多 相关 的 网 络 连接 起 来 ， 让 所 有 用 户 都 能 共享 这 些 网 络 资源 。 

请 看 图 1-1, 这 是 一 个 使 用 集线器 连接 的 基本 LAN 网 络 , 它 实际 上 只 有 一 个 冲突 域 和 一 个 广播 域 。 
(如果 你 不 明白 这 些 概 念 ， 也 不 用 担心 ， 本 章 和 第 2 章 将 大 量 讨论 广播 域 和 冲突 域 ， 你 在 梦 中 甚至 都 
可 能 因此 想起 它们 1! ) 


Sally 


(集线器 ) 


这 个 基本 网 络 允 许 设备 共享 信息 
术语 计算 机 语言 指 的 是 二 进 制 编码 (由 0 或 1 组 成 ) 
这 两 台 主 机 使 用 硬件 地 址 (MAC 地址 ) 进行 通信 


图 1-1 基本 的 网 络 
在 图 1-1 中 ， 你 认为 名 为 Bob 的 PC 将 如 何 与 名 为 Sally 的 PC 通信 呢 ? 它们 位 于 同一 个 LAN 中 ， 


通过 多 端口 转发 器 ( 集线器 ) 相连 。 因 此 ，Bob 到 底 是 发 送 数据 报 文 “Sally， 你 在 吗 ? ”， 还 是 使 用 
Sally 的 人 P 地 址 并 发 送 数据 报 文 “192.168.0.3,， 你 在 吗 ? ” 呢 ? 你 的 答案 可 能 是 后 者 ,但 遗憾 的 是 ,这 
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两 个 答案 都 不 对 ! 为 什么 呢 ? 因为 Bob 与 Sally 通信 时 , 实际 上 将 使 用 后 者 的 MAC 地 址 ( 称 为 硬件 地 
址 ， 刻 录 在 Sally 的 PC 网 卡 中 )。 

这 很 好 ,但 既然 Bob 只 知道 Sally 的 名 字 ， 而 且 甚 至 不 知道 其 IP 地址 ， 它 如 何 获 悉 Sally 的 MAC 
地 址 呢 ? Bob 首先 进行 名 称 解析 (将 主机 名 解析 为 IP 地 址 )， 这 通常 是 使 用 DNS ( Domain Name 
Service， 域 名 服务 ) 完成 的 。 请 注意 ， 鉴 于 这 两 台 主机 位 于 同一 个 LAN 中 ，Bob 只 需 发 送 广播 询问 
Sally 的 IP 地 址 ， 而 不 需要 使 用 DNS。 欢迎 使 用 Microsoft Windows! 

下 面 是 网 络 分 析 器 的 输出 ， 描 述 了 Bob 与 Sally 通信 的 起 始 过 程 : 

Source Destination Protoco]l Info 

192.168.0.2 192.168.0.255 NBNS Name query NB SALLY<00> 


正如 前 面 指 出 的 ， 鉴 于 这 两 台 主机 位 于 同一 个 本 地 LAN 中 ，Windows ( Bob ) 将 通过 广播 来 解析 
名 称 Sally ( 目标 地 址 192.168.0.255 是 一 个 广播 地 址 )， 而 Sally 将 告诉 Bob 自己 的 地 址 为 192.168.0.3 
(上 述 分 析 器 输出 中 没有 这 项 信息 )。 下 面 来 看 看 其 余 的 信息 : 


EthernetII,Src:192.168.0.2(00:14:22:be:18:3b),Dst:Broadcast(Cff:ff:-ff:ff:ff:ff) 


上 述 输出 表明 ，Bob 知道 自己 的 MAC 地 址 和 卫 地 址 ， 但 不 知道 Sally 的 地址 和 MAC 地址 ， 
因此 Bob 发 送 一 个 数据 链 路 层 广 播 , 其 目标 MAC 地 址 全 为 f, 并 发 送 一 个 了 PLAN 广播 , 其 目标 地 址 
为 192.168.0.255。 请 不 要 担心 ,第 3 章 将 全 面 介绍 广播 。 

现在 ，Bob 必须 在 LAN 上 广播 以 获悉 Sally 的 MAC 地 址 ， 这 样 才能 与 Sally 通信 并 发 送 数 据 : 

Source Destination Protocoy Info 

192.168.0.2 Broadcast ARP Who has 192.168.0.3? Tell 192.168.0.2 


下 面 来 看 看 Sally 的 响应 : 


Source Destination Protocol Info 
192.168.0.3 192.168.0.2 ARP 192.168.0.3 Ts at 00:0b:db:99:d3:5e 
192.168.0.3 192.168.0.2 NBNS Name query response NB 192.168.0.3 


至 此 ，Bob 获悉 了 Sally 的 IP 地 址 和 MAC 地 址 ! 在 前 面 的 输出 中 ， 这 些 地 址 都 是 作为 源 地 址 列 
出 的 ， 因 为 信息 是 由 Sally 发 回 给 Bob 的 。Bob 终于 获得 了 与 Sally 进行 通信 的 所 有 东西 。 需 要 指出 的 
是 ,第 8 章 将 全 面 介 绍 ARP (Address Resolution Protocol， 地 址 解析 协议 )， 并 阐述 Sally 的 IP 地 址 是 
如 何 解析 为 MAC 地 址 的 。 

雪上 加 霜 的 是 ， 有 时 候 必须 将 大 网 络 划分 成 一 系列 小 网 络 ， 因 为 随 着 网 络 的 增 大 ， 用 户 响应 将 非 
常 缓慢 ， 而 LAN 数据 流 将 发 生 严重 拥塞 。 对 于 这 种 问题 ， 解 决 之 道 是 将 大 型 网 络 划分 成 众多 小 网 络 ， 
这 称 为 网 络 分 段 ( network segmentation )。 为 此 ， 可 使 用 路 由 器 、 交 换 机 和 网 桥 等 设备 。 在 图 1-2 中 ， 
我 们 使 用 交换 机 对 网 络 进行 了 分 段 ， 让 与 交换 机 连接 的 每 个 网 段 都 成 为 了 一 个 独立 的 冲突 域 。 但 需要 
注意 的 是 ， 这 个 网 络 仍 只 有 一 个 广播 域 。 

需要 牢记 的 是 , 图 1-2 中 的 集线器 只 用 于 扩展 交换 机 端口 连接 的 冲突 域 。 导致 LAN 拥塞 的 常见 原 
因 如 下 : 

口 同一 个 广播 域 或 冲突 域 中 的 主机 太 多 ; 

口 广播 风暴 ; 
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口 组 播 数据 流 太 多 ; 
口 带宽 太 低 ; 
口 使 用 集线器 扩展 网 络 。 


(集线器 ) 


图 1-2 可 使 用 交换 机 替换 集线器 ,将 网 络 划分 成 多 个 冲突 域 


请 再 次 查看 图 1-2， 我 用 交换 机 替换 了 图 1-1 中 的 主 集线器 ， 你 注意 到 了 吗 ? 我 这 样 做 的 原因 是 ， 
集线器 不 能 将 网 络 分 段 ， 而 只 将 网 段 连接 起 来 。 基 本 上 ， 使 用 集线器 将 多 台 PC 连接 起 来 是 一 种 廉价 
的 解决 方案 ， 非 常 适合 用 于 家 庭 网 络 和 排除 故障 ， 但 仅 此 而 已 。 

当前 , 路 由 器 用 于 连接 多 个 网 络 , 并 在 网 络 之 间 路 由 数据 分 组 。 鉴于 思科 提供 高 品质 路 由 器 产品 、 
广阔 的 选择 范围 和 良好 的 服务 ， 它 成 了 路 由 器 方面 的 事实 标准 。 默 认 情况 下 ， 路 由 器 将 广播 域 划分 成 
多 个 。 广 播 域 (broadcast domain ) 指 的 是 同一 个 网 段 中 所 有 设备 组 成 的 集合 ， 这 些 设备 侦 听 该 网 段 中 
发 送 的 所 有 广播 。 在 图 1-3 中 ， 我 们 使 用 了 一 人 台 路 由 器 ， 它 组 建 互联 网 络 并 划分 广播 域 。 

图 1-3 所 示 的 网 络 很 不 错 ， 每 台 主 机 都 位 于 一 个 独立 的 冲突 域 中 ， 而 路 由 器 将 网 络 划分 成 了 两 个 
广播 域 。 另 外 ， 该 路 由 器 还 提供 了 到 WAN 服务 的 连接 。 路 由 器 使 用 串 行 接口 来 建立 WAN 连接 , 在 
思科 路 由 器 中 为 V35 物理 接口 。 

对 广播 域 进行 分 割 很 重要 ， 因 为 一 台 主 机 或 服务 器 发 送 网 络 广播 时 ， 网 络 中 的 所 有 设备 都 必须 读 
取 并 处 理 这 一 广播 ， 除 非 在 网 络 中 使 用 了 路 由 器 。 路 由 器 的 接口 收 到 广播 后 ， 可 这 样 作 出 响应 : 将 广 
播 委 弃 ， 而 不 将 其 转发 给 其 他 网 络 。 虽 然 路 由 器 默认 对 广播 域 进行 分 割 ， 但 请 牢记 它 也 对 冲突 域 进行 
分 割 。 

在 网 络 中 使 用 路 由 器 的 优点 有 两 个 : 

口 默认 情况 下 ， 路 由 器 不 转发 广播 ; 

口 路 由 器 可 根据 第 3 层 (网 络 层 ) 信息 (如 了 他 地 址 ) 对 网 络 进行 过 滤 。 

在 网 络 中 ， 路 由 器 有 如 下 4 项 功能 : 

口 分 组 交换 ; 
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口 分 组 过 滤 ; 
口 网 络 间 通 信 ; 
口 路 径 选 择 。 


A 


路 由 器 用 于 组 建 互联 网 络 
并 提供 到 WAN 服 务 的 连接 


图 1-3 路 由 器用 于 组 建 互联 网 络 


请 记 住 ， 路 由 器 实际 上 是 交换 机 一 一 第 3 层 交换 机 (有 关 网 络 分 层 的 内 容 将 在 本 章 后 面 讨论 )。 
与 第 2 层 交换 机 转发 或 过 滤 帧 不 同 ， 路 由 器 (第 3 层 交 换 机 ) 使 用 逻辑 地 址 ， 并 提供 分 组 交换 功能 。 
路 由 器 还 可 使 用 访问 列表 进行 分 组 过 滤 。 当 路 由 器 连接 多 个 网 络 并 使 用 逻辑 地 址 (IP 或 IPv6 ) 时 ， 
便 组 建 了 互联 网 络 。 最 后 ， 路 由 器 使 用 路 由 选择 表 ( 互联 网 络 地 图 ) 来 选择 路 径 并 将 分 组 转发 到 远 
程 网 络 。 

相反 , 交换 机 不 用 于 组 建 互联 网 络 ( 默认 情况 下 , 交换 机 不 对 广播 域 进行 分 割 ), 而 用 于 提高 LAN 
的 功能 。 交 换 机 的 主要 用 途 是 让 LAN 更 好 地 运行 一 一 优化 其 性 能 ， 向 LAN 用 户 提供 更 高 的 带宽 。 交 
换 机 不 像 路 由 器 那样 将 分 组 转发 到 其 他 网 络 ， 而 只 在 交换 型 网 络 内 的 端口 之 间 交 换 帧 。 你 可 能 会 问 ， 
帧 和 分 组 是 什么 呢 ? 这 将 在 本 章 后 面 介绍 。 

默认 情况 下 ， 交 换 机 对 冲突 域 (collision domain ) 进行 分 割 。 冲 突 域 是 一 个 以 太 网 术语 ， 指 的 是 
这 样 一 种 网 络 情形 : 某 台 设备 在 网 络 上 发 送 分 组 时 , 当前 网 段 中 的 其 他 所 有 设备 都 必须 注意 到 这 一 点 。 
如 果 同 时 有 两 台 设 备 试图 传输 数据 ， 将 导致 冲突 ， 而 这 两 台 设备 必须 分 别 重 传 数据 ， 因 此 效率 不 高 ! 
这 种 情形 通常 出 现在 使 用 集线器 的 网 络 环境 中 一 一 与 某 个 集线器 相连 的 所 有 主机 都 属于 同一 个 冲突 
域 ， 且 属于 同一 个 广播 域 。 与 此 相反 ， 交 换 机 的 每 个 端口 都 是 一 个 独立 的 冲突 域 。 


交换 机 创建 多 个 冲突 域 ， 但 只 创建 一 个 广播 域 ， 而 路 由 器 为 每 个 接口 都 提供 不 
注意 ” 同 的 广播 域 。 


6 第 1 章 网 络 互 联 


术语 桥接 是 在 路 由 器 和 集线器 面世 前 出 现 的 ， 因 此 经 常会 听 到 有 人 将 网 桥 和 交换 机 混为一谈 ， 这 
是 因为 网 桥 和 交换 机 的 基本 功能 相同 ， 都 将 LAN 划分 成 多 个 冲突 域 。 实 际 上 ， 当 前 已 买 不 到 网 桥 ， 
而 只 能 买 到 LAN 交换机， 但 它们 使 用 的 是 桥接 技术 ， 因 此 思科 仍 将 它们 称 为 多 端口 网 桥 。 

这 是 否 意味 着 交换 机 不 过 是 更 智能 的 多 端口 网 桥 呢 ? 大 致 如 此 ， 但 交换 机 不 同 于 网 桥 。 交 换 机 
确实 提供 了 网 桥 的 功能 ， 但 其 管理 功能 得 到 了 极 大 改善 。 另 外 ， 大 多 数 情况 下 ， 网 桥 只 有 2 或 4 个 
端口 。 虽 然 你 可 能 遇 到 端口 多 达 16 个 的 网 桥 ， 但 相 比 有 些 交 换 机 的 端口 多 达 数 百 个 的 情况 ， 这 不 
值 一 提 ! : 


在 网 络 中 使 用 网 桥 可 减少 广播 域 中 的 冲突 ， 并 增加 网 络 中 的 冲突 域 。 这 样 做 将 
注意 ” 给 用 户 提 供 更 高 的 带宽 。 另 外 ， 请 记 住 使 用 集线器 可 能 使 以 太 网 更 拥堵 。 请 务必 仔 
细 规 划 网 络 设计 。 


图 1-4 是 一 个 使 用 了 所 有 这 些 网 络 互 联 设备 的 网 络 。 请 记 住 , 使 用 路 由 器 时 ,不 仅 可 使 每 个 LAN 
接口 都 属于 一 个 独立 的 广播 域 ， 它 还 将 分 割 冲突 域 。 


图 1-4 网 络 互联 设备 
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在 图 1-4 中 ， 路 由 器 位 于 中 央 ， 它 将 所 有 物理 网 络 连接 起 来 ， 你 注意 到 这 一 点 了 吗 ? 鉴于 采用 了 二 
” 较 旧 的 技术 一 一 网 桥 和 和 集线器， 我们 必须 使 用 这 种 布局 。 

在 图 1-4 所 示 互 联网 络 的 顶部 ， 有 一 个 网 桥 将 集线器 连接 到 交换 机 。 网 桥 对 冲突 域 进行 分 割 ， 但 
同时 连接 到 两 台 集线器 的 所 有 主机 都 属于 同一 个 广播 域 。 另外， 该 网 桥 只 创建 了 两 个 冲突 域 ， 因 此 连 
接 到 同一 个 集线器 的 所 有 设备 都 属于 同一 个 冲突 域 。 实 际 上 ， 这 很 糟糕 ， 但 胜 过 让 所 有 主机 都 属于 同 
一 个 冲突 域 。 

另外 ， 图 1-4 中 底部 3 台 彼 此 相连 的 集线器 也 连接 到 了 路 由 器 ， 它 们 组 成 了 一 个 冲突 域 和 一 个 广 
播 域 。 这 让 这 个 桥接 型 网 络 看 起 来 确实 好 很 多 ! 


虽然 网 桥 /交换 机 用 于 将 网 络 分 段 ， 但 它们 不 能 隔离 广播 和 组 播 分 组 。 


在 与 该 路 由 器 相连 的 网 络 中 ， 最 好 的 是 左边 的 交换 型 LAN 网 络 。 为 什么 呢 ? 因为 交换 机 的 每 个 
端口 都 属于 一 个 独立 的 冲突 域 ， 但 这 还 不 是 太 好 ， 因 为 该 网 络 中 的 所 有 设备 都 属于 同一 个 广播 域 。 这 
实际 上 可 能 很 糟糕 ， 你 还 记得 其 原因 吗 ? 所 有 设备 都 必须 侦 听 所 有 的 广播 ,这 就 是 其 中 的 原因 。 广播 
域 太 大 时 ， 用户 可 用 的 带宽 就 很 少 ， 必 须 处 理 的 广播 就 很 多 ,而 网 络 的 响应 速度 将 会 慢 到 引起 办 公 室 
骚乱 的 程度 。 

在 该 网 络 中 仅 有 交换 机 时 ， 人 情况 将 得 到 极 大 改善 | 图 1-5 显示 了 当今 常见 的 网 络 。 
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图 1-5 由 交换 型 网 络 组 成 的 互联 网 络 


在 这 里 ,我 以 LAN 交换 机 为 核心 建立 了 网 络 ， 因 此 路 由 器 连接 的 只 是 逻辑 网 络 。 采 用 这 种 配置 
时 ， 我 们 便 创建 了 虚拟 LAN (VLAN )。VLAN 将 在 第 11 章 介 绍 ， 请 不 要 担心 。 然 而 ， 即 使 组 建 了 交 
换 型 网 络 ， 仍 需 使 用 路 由 器 〈 第 3 层 交换 机 ) 进行 VLAN 间 通 信 ， 理 解 这 一 点 非常 重要 ， 可 别 忘 了 。 

显然 ， 最 佳 的 网 络 是 这 样 的 : 进行 了 正确 配置 ， 能 够 满足 公司 的 业务 需求 。 最 佳 的 网 络 设计 是 ， 
在 网 络 中 正确 地 结合 使 用 LAN 交换 机 和 路 由 器 。 本 书 将 帮助 你 理解 路 由 器 和 交换 机 的 基本 知识 ， 让 
你 能 够 根据 具体 情况 作出 正确 的 决策 。 
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请 回 过 头 来 看 图 1-4。 在 该 图 所 示 的 互联 网 络 中 ， 有 多 少 个 冲突 域 和 广播 域 呢 ? 冲突 域 9 个 ， 广 
播 域 3 个 ， 但 愿 你 的 答案 与 此 相同 。 广 播 域 最 容易 辨别 ， 因 为 默认 情况 下 ， 只 有 路 由 器 对 广播 域 进行 
分 割 。 鉴 于 路 由 器 连接 有 3 条 ， 因 此 有 3 个 广播 域 。 但 你 明白 为 什么 冲突 域 有 9 个 吗 ? 如 果 不 明白 ， 
请 听 我 解释 。 只 包含 集线器 的 那个 网 络 是 一 个 冲突 域 ， 使 用 了 网 桥 的 网 络 有 3 个 冲突 域 。 加 上 交换 型 
网 络 中 的 5 个 冲突 域 一 一 每 个 交换 机 端口 对 应 一 个 ， 总 共 是 9 个 。 

现在 ， 再 来 看 图 1-5。 每 个 交换 机 端口 对 应 一 个 冲突 域 ， 而 每 个 VLAN 对 应 一 个 独立 的 广播 域 。 
然而 ， 你 仍 需要 一 台 路 由 器 ， 以 便 在 VLAN 之 间 进 行路 由 选择 。 在 你 看 来 ,有 多 少 个 冲突 域 呢 ? 答案 
是 10 个 (请 别 忘 了 ， 交 换 机 间 的 每 个 连接 都 对 应 一 个 冲突 域 ! )。 
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应 替换 现 有 的 10/100 Mbiis 交换 机 吗 ? 


假设 你 是 一 家 位 于 圣何塞 的 大 型 公司 的 网 络 管理 员 ， 要 求购 买 全 新 的 交换 机 ， 但 老板 不 确定 
是 否 批准 这 项 开支 。 那 么 ， 确 实 需要 这 样 做 吗 ? 

如 果 买 得 起 ,绝对 应 该 这 样 做 。 最 新 的 交换 机 可 提供 老式 10/100 Mbits 交换 机 没有 的 大 量 功 
能 (当前 看 来 ， 使 用 了 5 年 的 交换 机 就 相当 旧 了 )， 但 大 多 数 公 司 的 预算 都 受到 某 种 程度 的 限制 ， 
无 法 购买 全 新 的 吉 比 特 交 换 机 。 使 用 10/100 Mbit/s 交换 机 也 可 组 建 出 不 错 的 网 络 ,当然 条 件 是 进 
行 了 正确 的 设计 和 实施 ， 但 最 终 你 必须 更 换 这 些 交换 机 。 


那么 , 对 于 所 有 用 户 、 服 务 器 和 其 他 设备 , 都 需要 连接 到 1 Gbit/s 甚至 更 好 的 交换 机 端口 吗 ? 
是 的 ， 你 绝对 需要 新 的 高 端 交换 机 ! 鉴于 新 的 Windows 网 络 栈 和 IPv6 革命 ， 互 联网 络 的 瓶颈 不 
再 是 服务 器 和 主机 , 而 是 路 由 器 和 交换 机 ! 对 于 每 个 台式 机 和 路 由 器 接口 , 至 少 必 须 是 吉 比 特 的 。 
如 果 负 担 得 起 ， 最 好 是 10 Gbit/s 甚至 更 高 。 

因此 ， 按 照 你 的 想法 去 做 好 了 ! 提出 购买 全 新 交换 机 的 申请 吧 。 


简要 介绍 网 络 互联 技术 以 及 互联 网 络 中 的 各 种 设备 后 ， 下 面 该 介绍 网 络 互联 模型 了 。 


1.2 ”网络 互联 模型 


网 络 刚 面世 时 ,通常 只 有 同一 家 制造 商 生 产 的 计算 机 才能 彼此 通信 。 例如 ， 同 一 家 公司 要 么 采用 
DECnet 解决 方案 ， 要 么 采用 IBM 解决 方案 ， 而 不 能 结合 使 用 这 两 种 方案 。20 世纪 70 年 代 未 ， 为 打 
破 这 种 藩 篇，ISO ( International Organization for Standardization， 国 际 标准 化 组 织 ) 开发 了 OSI ( Open 
Systems Interconnection， 开 放 系 统 互联 ) 参考 模型 。 

OSI 模型 旨 在 以 协议 的 形式 帮助 厂商 生产 可 互 操作 的 网 络 设备 和 软件 ， 让 不 同 厂商 的 网 络 能 够 协 

_ 同 工作 。 与 世界 和 平一 样 ， 这 不 可 能 完全 实现 ,但 不 失 为 一 个 伟大 的 目标 。 

OSI 模型 是 主要 的 网 络 架构 模型 ， 描 述 了 数据 和 网 络 信息 如 何 通过 网 络 介质 从 一 台 计 算 机 的 应 用 
程序 传输 到 另 一 台 计 算 机 的 应 用 程序 。OSI 人 参考 模型 对 这 一 网 络 通信 工作 进行 了 分 层 。 

在 接 下 来 的 一 节 中 ， 我 们 将 阐述 这 种 分 层 方 法 以 及 如 何 用 它 帮 助 排 除 互联 网 络 故 障 。 
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1.2.1 分 层 方 法 


参考 模型 是 一 个 就 如 何 完 成 通信 创建 的 概念 蓝图 。 它 指出 了 进行 高 效 通 信 所 需 的 全 部 步骤 ， 并 将 
这 些 步 又 划分 成 称 为 层 的 逻辑 组 。 以 这 种 方式 设计 通信 系统 时 ， 便 采用 了 分 层 架 构 。 

让 我 们 这 样 来 思考 ,假设 你 和 一 些 朋 友 打 算 组 建 一 家 公司 。 为 此 ， 首 先 需 要 做 的 事情 之 一 是 坐 下 
来 考虑 下 述 问题 : 必须 完成 哪些 任务 、 由 谁 完成 、 按 什么 样 的 顺序 完成 以 及 这 些 任 务 之 间 的 相互 关系 。 
最 终 ， 你 可 能 会 将 这 些 任务 分 派 给 不 同 的 部 门 。 假 设 你 决定 组 建 订 单 接受 部 、 库 存 部 和 发 货 部 。 每 个 
部 门 都 有 特定 的 任务 ,希望 让 员工 都 忙活 起 来 并 专注 于 自己 的 本 职工 作 。 

在 这 个 案例 中 ， 部 门 相当 于 通信 系统 中 的 层 。 为 确保 业务 的 正常 运行 ， 每 个 部 门 的 员工 都 必须 信 
任 并 依靠 其 他 部 门 的 员工 ， 这 样 才能 完成 工作 并 胜任 其 职责 。 在 规划 过 程 中 ， 你 可 能 会 将 整个 流程 记 
录 下 来 ， 以 方便 讨论 操作 标准 ， 而 操作 标准 将 成 为 业务 蓝图 (参考 模型 )。 

企业 开始 运营 后 , 各 部 门 的 领导 都 将 拥有 该 蓝图 中 与 其 部 门 相关 的 部 分 ， 他 们 需要 制定 可 行 的 方 
案 ， 以 完成 分 配给 他 们 的 任务 。 这 些 可 行 的 方案 ( 协议 ) 需要 编制 成 标准 操作 流程 手册 ， 并 被 严格 遵 
守 。 每 个 流程 出 现在 手册 中 的 原因 和 重要 性 各 异 。 与 其 他 公司 建立 合作 伙伴 关系 或 并 购 其 他 公司 时 ， 
该 公司 的 业务 协议 〈 业 务 蓝 图 ) 必须 与 贵 公司 的 相称 ， 至 少 是 相 容 。 

同样 ， 软 件 开 发 人 员 可 使 用 参考 模型 来 理解 计算 机 通信 过 程 ,并 了 解 在 各 层 需要 完成 哪些 类 型 的 
功能 。 如 果 他 们 要 为 某 一 层 开发 协议 ， 则 只 需 考虑 这 一 层 的 功能 ， 而 无 需 考 虑 其 他 层 的 功能 ， 其 他 的 
功能 将 由 其 他 层 及 其 协议 处 理 。 从 技术 上 说 ， 这 种 理念 称 为 绑 定 : 在 特定 层 ， 彼此 相关 的 通信 步骤 被 
绑 定 在 一 起 。 


1.2.2 参考 模型 的 优点 


OSI 模型 是 层次 型 的 ， 具 有 分 层 模 型 的 所 有 优点 和 好 处 。 所 有 分 层 模 型 的 主要 目的 都 是 让 不 同 厂 
商 的 网 络 能 够 互 操 作 ，OSI 模 型 尤其 如 此 。 

使 用 OSI 分 层 模型 的 主要 优点 在 于 : 

口 将 网 络 通 信 过 程 划 分 成 更 小 、 更 简单 的 组 件 ， 这 有 助 于 组 件 的 开发 、 设 计 和 故障 排除 ; 

口 通过 标准 化 网 络 组 件 ， 让 多 家 厂商 能 够 协作 开发 ; 

口 定义 了 模型 每 层 执行 的 功能 ， 从 而 鼓励 了 行业 标准 化 ; 

口 让 不 同类 型 的 网 络 硬件 和 软件 能 够 彼此 通信 ; 

口 避免 让 对 一 层 的 修改 影响 其 他 层 ， 从 而 避免 妨碍 开发 工作 。 


1.3 OSI 参考 模型 


OSI 规 范 最 大 的 作用 之 一 是 帮助 在 不 同 的 主机 之 间 传 输 数 据 ， 这 意味 着 我 们 可 在 Unix 主机 和 PC 
(或 Mac ) 之 间 传 输 数据 。 

然而 ，OSI 并 非 具体 的 模型 ， 而 是 一 组 指导 原则 ， 应 用 程序 开发 人 员 可 使 用 它们 创建 可 在 网 络 中 
运行 的 应 用 程序 。 它 还 提供 了 一 个 框架 ， 指 导 如 何 制定 和 实施 网 络 标准 、 如 何 制造 设备 以 及 如 何 制定 
网 络 互联 方案 。 

OSI 模型 包含 7 层 ， 它 们 分 为 两 组 : 上 3 层 指定 了 终端 中 的 应 用 程序 如 何 彼 此 通信 以 及 如 何 与 用 
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户 交 流 ; 下 4 层 指定 了 如 何 进 行 端 到 端的 数据 传输 。 图 1-6 显示 了 上 3 层 及 其 功能 ， 而 图 1-7 显示 了 
下 4 层 及 其 功能 。 


提供 用 户 界 面 


表示 数据 
进行 加 密 等 处 理 


将 不 同 应 用 程序 的 数据 分 离 


图 1-6 上 3 层 


提供 可 靠 或 不 可 靠 的 传输 
在 重 传 前 执行 纠 错 


提供 逻辑 地 
路 击 器 使 用 它 门 来 选择 路 和 


将 分 组 拆 分 为 字 节 ， 并 将 字 节 组 合成 帧 
使 用 MAC 地 址 提供 介质 访问 
执行 错误 检测 ， 但 不 纠 错 


在 设备 之 间 传 输 比 特 
指定 电 平 、 电 缆 速 度 和 电缆 针脚 


图 1-7 下 4 层 


从 图 1-6 可知 ， 用 户 界 面 位 于 应 用 层 。 另 外 ， 上 3 层 负责 主机 之 间 的 应 用 程序 通信 。 请 记 住 ， 这 
3 层 都 对 联网 和 网 络 地 址 一 无 所 知 ， 那 是 下 4 层 的 职责 。 

从 图 1-7 中 可 知 ， 下 4 层 定义 了 数据 是 如 何 通过 物理 电缆 、 交 换 机 和 路 由 器 进行 传输 的 ， 它 们 还 
定义 了 如 何 重建 从 发 送 方 主机 到 目标 主机 的 应 用 程序 的 数据 流 。 

下 述 网 络 设备 都 运行 在 OSI 模型 的 全 部 7 层 上 ， 

口 NMS (Network Management Station， 网 络 管理 工作 站 ); 
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口 Web 和 应 用 程序 服务 器 ; 

口 网 关 《〈 非 默认 网 关 ); 

口 网 络 主机 。 

ISO 大 致 相当 于 网 络 协议 领域 的 Emily Post。Emily Post 编写 有 关 社 交 礼 仪 (协议 ) 的 书籍 ， 而 
OSI 创 先 开发 的 OSI 参考 模型 则 是 开放 网 络 协议 指南 。OSI 定 义 了 通信 模型 的 规范 ， 当 前 仍 是 最 常见 
的 协议 艇 比较 方法 。 

OSI 参 考 模型 包含 如 下 7 层 : 

口 应 用 层 (第 7 层 ); 

口 表示 层 (第 6 层 ); 

口 会 话 层 (第 5 层 ); 

口 传输 层 (第 4 层 ); 

口 网 络 层 (第 3 层 ); 

口 数据 链 路 层 (第 2 层 ); 

口 物理 层 (第 1 层 )。 

图 1-8 总 结 了 OSI 模 型 各 层 的 功能 。 


文件 、 打 印 、 消 息 、 数 据 库 和 应 用 程序 服务 
数据 加 密 、 压 缩 和 转换 服务 
对 话 控 制 


端 到 端 连接 
路 由 选择 


成 帧 
物理 拓扑 


图 1-8 各 层 的 功能 
有 了 这 些 知 识 后 ， 我 们 便 可 以 详细 探索 各 层 的 功能 了 。 
1.3.1 应 用 层 


OSI 模型 的 应 用 层 是 用 户 与 计算 机 交流 的 场所 。 仅 当 马上 需要 访问 网 络 时 , 这 一 层 才 会 发 挥 作用 。 
以 下 为 例 ， 即 使 你 将 系统 中 所 有 的 联网 组 件 (如 TCP/P、 网 卡 等 ) 印 载 掉 ， 仍 可 使 用 IE 浏览 本 地 的 
HTML 文档 , 这 没有 任何 问题 。 但 如 果 你 试图 浏览 必须 使 用 HTTP 来 获取 的 HTML 文档 ,或 使 用 FTP 
(TFTP ) 来 下 载 文件 ,就 绝对 会 遇 到 麻烦 。 这 是 因为 响应 这 些 请 求 时 ，IE 将 试图 访问 应 用 层 。 实 际 上 ， 
应 用 层 让 应 用 程序 能 够 将 信息 沿 协议 栈 向 下 传输 ， 从 而 充当 了 应 用 程序 (它们 根本 不 是 OSI 分 层 结构 
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的 组 成 部 分 ) 和 下 一 层 之 间 的 接口 。 换 名 话说, IE 并 不 位 于 应 用 层 中 ,而 是 在 需要 处 理 远程 资源 时 与 
应 用 层 协议 交互 。 . 

应 用 层 还 负责 确定 目标 通信 方 的 可 用 性 ， 并 判断 是 否 有 足够 的 资源 进行 想 要 的 通信 。 

这 些 任务 很 重要 ， 因 为 计算 机 应 用 程序 有 时 候 需 要 的 不 仅仅 是 桌面 资源 。 通 常 ， 它 们 将 结合 使 用 
多 个 网 络 应 用 程序 的 通信 组 件 ， 这 样 的 典型 示例 包括 文件 传输 、 电 子 邮件 、 启 用 远程 访问 、 网 络 管理 
活动 、 客 户 /服务 器 进程 以 及 信息 查找 。 很 多 网 络 应 用 程序 提供 了 通过 企业 网 络 进行 通信 的 服务 , 但 就 
当前 和 未 来 的 网 络 互联 而 言 ， 这 种 需求 发 展 得 太 快 了 ， 超 过 了 现 有 物理 网 络 的 极限 。 


应 用 层 是 实际 应 用 程序 之 闻 的 接口 ,牢记 这 一 点 很 重要 。 这 意味 着 诸如 Microsoft 
注意 ” Word 等 应 用 程序 并 不 位 于 应 用 层 中 ， 而 是 与 应 用 层 协议 交互 。 第 3 章 将 介绍 一 些 位 
于 应 用 层 中 的 程序 ， 如 FTP 和 TFTP。 


1.3.2 ”表示 层 


表示 层 因 其 用 途 而 得 名 ， 它 向 应 用 层 提 供 数据 ， 并 负责 数据 转换 和 代码 格式 化 。 

从 本 质 上 说 ， 该 层 是 一 个 转换 器 ， 提 供 编码 和 转换 功能 。 一 种 成 功 的 数据 传输 方法 是 ， 将 数据 转 
换 为 标准 格式 再 进行 传输 。 计 算 机 被 配置 成 能 够 接受 这 种 通用 格式 的 数据 ， 然 后 将 其 转换 为 本 机 格式 
以 便 读 取 《〈 例如， 从 EDCDIC 转换 为 ASCII )。 通 过 提供 转换 服务 ， 表 示 层 能 够 确保 从 一 个 系统 的 应 
用 层 传 输 而 来 的 数据 可 被 另 一 个 系统 的 应 用 层 读 取 。 

OSI 制定 了 相关 的 协议 标准 ， 这 些 标准 定义 了 如 何 格式 化 标准 数据 。 诸 如 数据 压缩 、 解 压缩 、 加 
密 和 解密 等 任务 都 与 表示 层 有 关 。 有 些 表示 层 标准 还 涉及 多 媒体 操作 。 


1.3.3 会话 层 


会 话 层 负责 在 表示 层 实体 之 间 建 立 、 管 理 和 终止 会 话 ， 还 对 设备 或 节点 之 间 的 对 话 进行 控制 。 它 
协调 和 组 织 系统 之 间 的 通信 ， 为 此 提供 了 3 种 不 同 的 模式 : 单 工 、 半 双 工 和 全 双 工 。 总 之 ,会话 层 的 
基本 功能 是 将 不 同 应 用 程序 的 数据 分 离 。 


1.3.4 ”传输 层 


传输 层 将 数据 进行 分 段 并 重组 为 数据 流 。 位 于 传输 层 的 服务 将 来 自 上 层 应 用 的 数据 进行 分 段 和 重 
组 ,并 将 它们 合并 到 同一 个 数据 流 中 。 它 们 提供 了 端 到 端的 数据 传输 服务 ， 并 可 在 互联 网 络 上 的 发 送 
主机 和 目标 主机 之 间 建 立 逻 辑 连接 。 

有 些 读 者 可 能 熟悉 TCP 和 UDP， 但 如 果 你 不 熟悉 ， 也 不 用 担心 ,第 3 章 将 全 面 介绍 它们 。 如 果 
你 熟悉 TCP 和 UDP， 就 知道 它们 都 运行 在 传输 层 ， 且 TCP 是 一 种 可 靠 的 服务 , 而 UDP 不 是 。 这 意味 
着 应 用 程序 开发 人 员 有 更 多 的 选择 ， 因 为 使 用 TCP/IP 协议 时 ， 他 们 可 在 这 两 种 协议 之 间作 出 选择 。 

传输 层 负责 提供 如 下 机 制 : 对 上 层 应 用 程序 进行 多 路 复 用 、 建 立会 话 以 及 拆除 虚 电 路 。 它 还 提供 
透明 的 数据 传输 ， 从 而 对 高 层 隐藏 随 网 络 而 异 的 信息 。 
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在 传 给 层 ， 可 使 用 术语 可 靠 的 联网 ， 这 意味 着 将 使 用 确认 、 排序 和 流量 控制。 


传输 层 可 以 是 无 连接 的 或 面向 连接 的 ， 但 思科 最 为 关心 的 是 你 是 否 理解 了 传输 层 的 面向 连接 部 
en 

1. 流量 控制 

数据 完整 性 由 传输 层 确保 ,这 是 通过 流量 控制 以 及 允许 应 用 程序 请 求 在 系统 之 间 进 行 可 靠 的 数据 
传输 实现 的 。 流 量 控制 可 避免 作为 发 送 方 的 主机 让 作为 接收 方 的 主机 的 缓冲 区 溢出 (这 可 能 导致 数据 
丢失 )。 可 靠 的 数据 传输 在 系统 之 间 使 用 面向 连接 的 通信 会 话 ， 而 涉及 的 协议 确保 可 实现 如 下 目标 : 

口 收 到 数据 段 后 ， 向 发 送 方 进行 确认 ; 

口 重 传 所 有 未 得 到 确认 的 数据 段 ; 

口 数据 段 到 达 目 的 地 后 ， 按 正确 的 顺序 排列 它们 ; 

口 确保 数据 流量 不 超过 处 理 能 力 ， 以 避免 拥塞 、 过 载 和 数据 丢失 。 


DD 


rp 


流量 控制 旨 在 提供 一 种 机 制 ， 让 接收 方 能 够 控制 发 送 方 发 送 的 数据 量 。 


2. 面向 连接 的 通信 

在 可 靠 的 传输 操作 中 ， 要 传输 数据 的 设备 建立 一 个 到 远程 设备 的 面向 连接 的 通信 会 话 。 传 输 设备 
首先 与 其 对 等 系统 建立 面向 连接 的 会 话 ， 这 称 为 呼叫 建立 或 三 方 握手 ， 然 后 传输 数据 。 传 输 完毕 后 ， 
将 进行 呼叫 终止 ， 以 拆除 虚 电 路 。 

图 1-9 描述 了 发 送 系 统 和 接收 系统 之 间 进 行 的 典型 可 靠 会 话 。 从 中 可 知 ， 两 台 主 机 的 应 用 程序 都 
首先 通知 各 自 的 操作 系统 说 即将 建立 一 条 连接 。 两 个 操作 系统 通过 网 络 发 送 消息 ， 确 认 传输 得 到 了 批 
准 且 双方 已 准备 就 绪 。 这 种 必 不 可 少 的 同步 完成 后 ， 便 完全 建立 了 连接 ， 可 以 开始 传输 数据 了 。( 这 
种 虚 电 路 建立 称 为 开销 ! ) 

传输 信息 期 间 ， 两 台 主 机 定期 地 检查 对 方 ， 通 过 协议 软件 进行 通信 ， 确 保 一 切 进 展 顺利 且 正确 地 
收 到 了 数据 。 

对 图 1-9 所 示 的 面向 连接 的 会 话 中 的 步骤 (三方 握手 ) 总 结 如 下 。 

口 第 一 个 是 “连接 协定 ”数据 段 ， 用 于 请 求 同 步 。 

口 接 下 来 的 数据 段 确认 请 求 ， 并 在 主机 之 间 确 定 连 接 参 数 ( 即 规则 )。 这 些 数据 段 也 请 求 同 步 接 

收 方 的 排序 ， 以 建立 双向 连接 。 
口 最 后 一 个 数据 段 也 是 用 来 进行 确认 的 ， 人 
在 可 以 开始 传输 数据 了 。 

昕 起 来 相当 简单 ， 但 事情 进展 并 非 总 是 如 此 顺利 。 有 时 候 ， 在 传 办 期间， 高速 计算 机 生成 的 数据 
流 远 远 超过 网 络 的 传输 能 力 ， 进 而 导致 拥塞 。 大 量 计 算 机 同时 向 一 个 网 关 或 目标 主机 发 送 数据 报时 ， 
也 很 容易 导致 问题 ， 在 这 种 情况 下 ， 网 关 或 目标 主机 可 能 发 生 拥塞 ， 虽 然 这 不 能 怪罪 于 任何 一 台 源 主 
机 。 这 两 种 情况 都 类 似 于 高 速 公 路 的 瓶颈 ~ 一 流量 太 大 ， 而 容量 太 小 。 这 种 问题 并 非 某 辆 车 导致 的 ， 
而 只 是 高 速 公路 上 的 车 太 多 。 
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SYN/ACK 
OG 


连接 已 建立 


传输 数据 
(发 送 数据 段 ) 
图 1-9 建立 面向 连接 的 会 话 


当主 机 收 到 大 量 的 数据 报 ， 超 出 了 其 处 理 能 力 时 ， 结 果 将 如 何 呢 ? 它 会 将 这 些 数据 报 存储 在 称 为 
缓冲 区 的 内 存 区 域 中 , 但 仅 当 突 发 数据 报 的 数量 较 少时 , 这 种 缓冲 方式 才能 解决 问题 。 如果 不 是 这 样 ， 
数据 报 将 纷 至 省 来 ， 并 最 终 耗 尽 设备 的 内 存 ， 超 过 其 容量 ， 使 其 最 终 不 得 不 丢弃 新 到 来 的 数据 报 。 

但 也 不 用 太 担 心 , 因为 传输 层 的 流量 控制 系统 确实 很 管用 。 传输 层 可 向 发 送 方 ( 源 ) 发 出 信号 “未 
准备 好 ”， 从 而 避免 数据 泛滥 和 丢失 数据 ， 如 图 1-10 所 示 。 这 种 机 制 类 似 于 刹车 灯 ， 用 信号 告诉 发 送 
设备 不 要 再 向 不 堪 重 负 的 接收 方 传输 数据 段 。 处 理 完毕 其 内 存储 水 池 ( 缓冲 区 ) 中 的 数据 段 后 ， 接 收 
方 发 送信 号 “准备 就 绪 ”"。 等 待 传输 的 计算 机 收 到 这 个 “前 进 ” 信 号 后 ， 将 继续 传输 。 


| 
发 送 方 
传输 


一 aaa 缓冲 区 已 满 
未 准备 好 一 一 停止 传输 


数据 段 已 处 理 完毕 
“二 继续 


C Ed 
传输 一 
CC 


图 1-10 使 用 流量 控制 的 传输 过 程 
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在 面向 连接 的 可 靠 数据 传输 中 ， 数 据 报 到 达 接 收 主 机 的 顺序 与 发 送 顺序 完全 相同 ; 如 果 顺 序 被 打 
乱 ， 传 输 将 失败 。 如 果 在 传输 过 程 中 ， 有 任何 数据 段 丢 失 、 重 复 或 受 损 ， 传 输 也 将 失败 。 为 解决 这 个 
问题 ， 可 让 接收 主机 确认 它 收 到 了 每 个 数据 段 。 

如 果 服 务 具 有 如 下 特征 ， 它 就 是 面向 连接 的 : 

口 建立 虚 电路 〈 如 三 方 握手 ); 

口 使 用 排序 技术 ; 

口 使 用 确认 ; 

口 使 用 流量 控制 。 


流量 控制 方式 包含 缓冲 、 窗 口技 术 和 拥塞 避免 。 


3. 窗口 技术 

在 理想 情况 下 , 数据 传输 快捷 而 高 效 。 可 以 想见 , 如 果 传 输 方 发 送 每 个 数据 段 后 都 必须 等 待 确认 ， 
传输 速度 将 变 得 缓慢 。 然 而 ， 从 发 送 方 传输 数据 段 到 处 理 完毕 来 自 接收 方 的 确认 之 间 有 一 段 时 间 ， 发 
送 方 可 利用 这 段 时 间 传输 更 多 的 数据 。 在 收 到 确认 前 ， 传 输 方 可 发 送 的 数据 段 数量 ( 以 字 节 为 单位 ) 
称 为 窗口 。 


窗口 用 于 控制 未 确认 的 数据 段 数 量 。 


因此 ， 窗口 大 小 控制 了 一 方 传输 给 另 一 方 的 信息 量 。 有 些 协 议 以 分 组 数 度量 信息 量 , 但 TCP/IP 
以 字 节 数 度 量 信 息 量 。 

在 图 1-11 中 ， 双 方 使 用 的 窗口 大 小 不 同 : 一 方 将 其 设置 为 1， 另 一 方 将 其 设置 为 3。 

窗口 大 小 为 1 时 , 发 送 方 传输 每 个 数据 段 后 都 等 待 确认 , 然后 才能 传输 另 一 个 : 窗口 大 小 为 3 时 ， 
发 送 方 将 传输 3 个 数据 段 ， 再 等 待 确认 。 

在 这 个 简化 的 示例 中 ， 发 送 方 和 接收 方 都 是 工作 站 。 在 实际 情况 中 ， 可 发 送 的 为 字 节 数 ， 而 不 是 
数据 段 数 。 


如 果 未 收 到 所 有 应 确认 的 字 节 ， 接 收 方 将 缩小 窗口 ， 以 改善 通信 会 话 。 


4. 确认 

可 靠 的 数据 传输 依靠 功能 完整 的 数据 链 路 ， 从 而 确保 机 器 之 间 发 送 的 数据 流 的 完整 性 。 它 确保 数 
据 不 会 重复 或 丢失 ,这 是 通过 肯定 确认 和 重 传 实现 的 ， 这 种 方法 要 求 接收 方 在 收 到 数据 后 向 发 送 方 发 
送 一 条 确认 消息 。 发 送 方 记录 每 个 以 字 节 为 单位 度量 的 数据 段 ,将 其 发 送 后 等 待 确认 ， 而 暂 不 发 送 下 
一 数据 段 。 发 送 数据 段 后 ， 发 送 方 启动 定时 器 ， 如 果 定 时 器 到 期 后 仍 未 收 到 接收 方 的 确认 ， 就 重 传 该 
数据 段 。 
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窗口 大 小 为 3 


CT 
CC 
一 确认 4 
一 

图 1-11 窗口 技术 


在 图 1-12 中 , 发 送 方 传输 了 数据 段 1、2 和 3， 接收 节 点 请 求 发 送 数 据 段 4， 以 此 确认 它 收 到 了 前 
3 个 数据 段 。 收 到 确认 后 ， 发 送 方 传输 数据 段 4、5 和 6。 如 果 数 据 段 5 未 能 到 达 目 的 地 ， 接 收 方 将 请 
求 重 传 该 数据 段 ， 以 指出 这 一 点 。 接 下 来 ， 发 送 方 将 重 传 该 数据 段 并 等 待 确认 ; 仅 当 收 到 确认 后 ， 接 


收 方才 会 传输 数据 段 7。 


发 送 1 
发 送 2 
发 送 3 


发 送 4 
发 送 5 
发 送 6 


发 送 5 


< 确认 4 
Eo 
Egg 连接 中 断 ! 


< ema 确认 5 
5 > 
< 人 = 确认 7 
图 1-12 传输 层 可 靠 地 传输 
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1.3.5 ”网络 层 


网 络 层 (第 3 层 ) 管理 设备 编 址 、 跟 踪 设备 在 网 络 中 的 位 置 并 确定 最 佳 的 数据 传输 路 径 ， 这 意味 
着 网 络 层 必须 在 位 于 不 同 网 络 中 的 设备 之 间 传 输 数 据 流 。 路 由 器 (第 3 层 设备 ) 位 于 网 络 层 ， 在 互联 
网 络 中 提供 路 由 选择 服务 。 
具体 过 程 如 下 。 在 其 接口 上 收 到 分 组 后 , 路 由 器 首先 检查 分 组 的 目标 人 P 地 址 。 如 果 分 组 的 目的 地 
不 是 当前 路 由 器 ， 路 由 器 将 在 路 由 选择 表 中 查找 目标 网 络 地 址 。 选 择 出 站 接口 后 ， 路 由 器 将 分 组 发 送 
到 该 接口 ， 后 者 将 分 组 封装 成 帧 后 在 本 地 网 络 中 传输 。 如 果 在 路 由 选择 表 中 找 不 到 目标 网 络 对 应 的 条 
目 ， 路 由 器 将 丢弃 分 组 。 
在 网 络 层 ， 使 用 的 分 组 有 两 种 : 数据 和 路 由 更 新 。 
口 数据 分 组 ”用 于 在 互联 网 络 中 传输 用 户 数据 。 用 于 支持 用 户 数据 的 协议 称 为 被 路 由 协议 (routed 
protocol )， 这 包括 全 和 IPv6。IP 编 址 将 在 第 3 章 和 第 4 章 介 绍 ， 而 IPv6 将 在 第 15 章 介 绍 。 
口 路 由 更 新 分 组 包含 与 有 关 互 联网 络 中 所 有 路 由 器 连接 的 网 络 的 更 新 信息 ， 用 于 将 这 些 信 息 
告知 邻接 路 由 器 。 发 送 路 由 更 新 分 组 的 协议 称 为 路 由 选择 协议 ， 一 些 常 见 的 路 由 选择 协议 包 
括 RIP、RIPv2、EIGRP 和 OSPF。 路 由 更 新 分 组 用 于 帮助 每 台 路 由 器 建立 和 维护 路 由 选择 表 。 
1-13 是 一 个 路 由 选择 表 。 


1.0 3.0 


路 由 选择 表 
网 络 地 址 接口 “度量 值 


图 1-13 路 由 器 使 用 的 路 由 选择 表 


路 由 器 使 用 的 路 由 选择 表 包 含 如 下 信息 。 

口 网 络 地 址 ” 随 协议 而 异 的 网 络 地 址 。 对 于 每 种 被 路 由 协议 ， 路 由 器 都 必须 为 其 维护 一 个 路 由 
选择 表 ， 因 为 每 种 被 路 由 协议 都 以 不 同 的 编 址 方案 (如 于、IPv6 和 IPX ) 跟踪 网 络 。 可 将 网 
络 地 址 视 为 用 不 同 语言 书写 的 街道 标识 ; 如 果 Cat 街 居住 着 美国 人 、 西 班 牙 人 和 法 国人 , 该 街 
道 将 标识 为 Cat/Gato/Chat。 

口 接口 ”前往 特定 网 络 时 ， 将 为 分 组 选择 的 出 站 接口 。 

口 度量 值 ”到 远程 网 络 的 距离 。 不 同 的 路 由 选择 协议 使 用 不 同 的 方式 计算 这 种 距离 。 路 由 选择 
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协议 将 在 第 8 章 和 第 9 章 介绍 , 就 目前 而 言 ， 只 需 知道 如 下 信息 : 有 些 路 由 选择 协议 (具体 地 
说 是 RIP ) 使 用 跳 数 (分 组 前 往 远 程 网 络 时 穿越 的 路 由 器 数量 )， 而 有 些 路 由 选择 协议 使 用 带 
宽 、 线 路 延迟 甚至 咬 哄 (118 秒 ) 数 。 
正如 前 面 指出 的 , 路 由 器 分 割 广播 域 , 这 意味 着 默认 情况 下 ,路 由 器 不 会 转发 广播 。 这 是 件 好 事 ， 
你 还 记得 其 原因 吗 ? 路 由 器 还 能 分 割 冲突 域 ， 但 我 们 也 可 使 用 第 2 层 (数据 链 路 层 ) 交换 机 达成 这 种 
目的 。 因 为 路 由 器 的 每 个 接口 都 属于 不 同 的 网 络 ， 所 以 我 们 必须 给 每 个 接口 分 配 不 同 的 网 络 标识 号 ， 
且 与 同一 个 接口 相连 的 每 台 主机 都 必须 使 用 相同 的 网 络 号 。 图 1-14 说 明了 路 由 器 在 互联 网 络 中 扮演 的 
角色 。 
“astEthernet0/0 Ce Seria 
FastEthernet0/0 Ga ~ Serial0 全 


WAN 服务 
FastEthernet0/1 


每 个 路 由 器 接口 都 属于 不 同 的 广播 
默认 情况 下 ， 路 由 器 分 割 广播 域 ， 并 提供 WAN 服 务 


图 1-14 互联 网 络 中 的 路 由 器 


对 于 路 由 器 ， 必 须 牢 记 如 下 要 点 : 

口 默认 情况 下 ， 路 由 器 不 转发 任何 广播 分 组 和 组 播 分 组 。 

口 路 由 器 根据 网 络 层 报头 中 的 逻辑 地 址 确定 将 分 组 转发 到 哪个 下 一 跳 路 由 器 。 

口 路 由 器 可 使 用 管理 员 创建 的 访问 列表 控制 可 进出 接口 的 分 组 类 型 ， 以 提高 安全 性 。 
口 必要 时 ， 路 由 器 可 在 同一 个 接口 提供 第 2 层 桥 接 功能 和 路 由 功能 。 

口 第 3 层 设备 (这 里 指 的 是 路 由 器 ) 在 虚拟 LAN (VLAN ) 之 间 提 供 连 接 。 

口 路 由 器 可 为 特定 类 型 的 网 络 数据 流 提 供 QoS ( Quality of Service， 服 务 质 量 )。 


pe VLAN 将 在 弟 -1 10 0 章 和 第 1 11 Pe 


1.3.6 ”数据 链 路 层 


数据 链 路 层 提 供 数 据 的 物理 传输 ， 并 处 理 错 误 通 知 、 网 络 拓扑 和 流量 控制 。 这 意味 着 数据 链 路 层 
将 使 用 硬件 地 址 确保 报 文 被 传输 到 LAN 中 的 正确 设备 ， 还 将 把 来 自 网 络 层 的 报 文 转 换 为 比特 ， 供 物 
理 层 传输 。 

数据 链 路 层 将 报 文 封 装 成 数据 帧 ， 并 添加 定制 的 报头 ， 其 中 包含 目标 硬件 地 址 和 源 硬 件 地 址 。 这 
些 添加 的 信息 位 于 原始 报 文 周围 ， 形 成 “小 容器 "”， 就 像 阿波 罗 计 划 中 的 引擎 、 导 航 设备 和 其 他 工具 
被 附加 到 登 月 舱 上 一 样 。 这 些 设备 仅 在 太空 航行 的 特定 阶段 有 用 ， 这 些 阶 段 结束 后 将 被 剥离 和 丢弃 ， 
数据 在 网 络 中 的 传输 过 程 与 此 类 似 。 

图 1-15 显示 了 数据 链 路 层 以 及 以 太 网 和 IEEE 规范 。 需 要 注意 的 是 , IEEE 802.2 标准 与 其 他 IEEE 
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逻辑 链 路 控制 (LLC) 
介质 访问 控制 (MAC) 
802.5 802.3 802.2 


图 1-15 数据 链 路 层 


路 由 器 运行 在 网 络 层 ， 根 本 不 关心 主机 位 于 什么 地 方 ， 而 只 关心 网 络 (包括 远程 网 络 ) 位 于 什么 
地 方 以 及 前 往 这 些 网 络 ( 包括 远程 网 络 ) 的 最 佳 路 径 ， 明 白 这 一 点 很 重要 。 路 由 器 只 关心 网 络 ， 这 是 
好 事 ! 对 本 地 网 络 中 每 台 设 备 进行 唯一 标识 的 工作 由 数据 链 路 层 负责 。 
数据 链 路 层 使 用 硬件 地 址 , 让 主机 能 够 给 本 地 网 络 中 的 其 他 主机 发 送 分 组 以 及 穿越 路 由 器 发 送 分 
组 。 每 当 在 路 由 器 之 间 传 输 分 组 时 ， 分 组 都 将 被 使 用 数据 链 路 层 控制 信息 封装 成 巅 ， 但 接收 路 由 器 会 
将 这 些 信息 剥离 ， 只 保留 完整 的 原始 分 组 。 在 每 一 跳 都 将 重复 这 种 将 分 组 封装 成 帧 的 过 程 ， 直 到 分 组 
最 终 到 达 正 确 的 接收 主机 。 在 整个 传输 过 程 中 ， 分 组 本 身 从 未 被 修改 过 ， 而 只 是 被 必要 的 控制 信息 封 
装 ， 以 便 能 够 通过 不 同 的 介质 进行 传输 ， 明 白 这 一 点 至 关 重要 。 
IEEE 以 太 网 数据 链 路 层 包 含 两 个 子 层 ， 如 下 。 
口 介质 访问 控制 (MAC) 子 层 (802.3〉” 它 定义 了 如 何 通 过 介质 传输 分 组 。 它 采用 “ 先 到 先 
服务 ”的 访问 方式 ， 带 宽 由 大 家 共享 ， 因 此 称 为 况 用 介质 访问 (contention media access )。 
这 个 子 层 定义 了 物理 地 址 和 逻辑 拓扑 。 什 么 是 逻辑 拓扑 呢 ? 它 指 的 是 信号 在 物理 拓扑 中 的 传 
输 路 径 。 在 这 个 子 层 , 还 可 使 用 线路 控制 、 错 误 通知 ( 不 纠 错 )、 顺 序 传递 帧 以 及 可 选 的 流量 
控制 。 
口 逻辑 链 路 控制 LLC) 子 层 〈802.2) ”负责 识别 网 络 层 协议 并 对 其 进行 封装 。LLC 报头 告 
诉 数据 链 路 层 收 到 帧 后 如 何 对 分 组 进行 处 理 。 其 工作 原理 类 似 于 : 收 到 帧 后 , 主机 查看 LLC 
报头 以 确定 要 将 分 组 交 给 谁 一 一 如 网 络 层 的 IP 协议 。LLC 还 可 提供 流量 控制 以 及 控制 比特 
排序 。 
本 章 开头 谈 到 的 交换 机 和 网 桥 都 工作 在 数据 链 路 层 ， 它 们 根据 硬件 ( MAC ) 地 址 过 滤 网 络 。 接 下 
来 我 们 将 详细 介绍 这 些 内 容 。 
工作 在 数据 链 路 层 的 交换 机 和 网 桥 
第 2 层 交换 被 认为 是 基于 硬件 的 桥接 ， 因 为 它 使 用 称 为 ASIC ( Application-specific Integrated 
Circuit， 专 用 集成 电路 ) 的 特殊 硬件 。ASIC 的 速度 可 高 达 吉 比特 ， 且 延迟 非常 低 。 


标准 配合 使 用 ， 并 为 其 添加 了 额外 的 功能 。 


延迟 指 的 是 从 帧 进入 端口 到 离开 端口 之 间 的 时 间 。 
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网 桥 和 交换 机 读 取 通过 网 络 传输 的 每 个 帧 ， 然 后 ， 这 些 第 2 层 设 备 将 源 硬 件 地 址 加 入 过 滤 表 中 ， 
以 跟踪 帧 是 从 哪个 端口 收 到 的 。 这些 记 录 在 网 桥 或 交换 机 过 滤 表 中 的 信息 将 帮助 确定 特定 发 送 设备 的 
位 置 。 图 1-16 显示 了 互联 网 络 中 的 交换 机 。 
a 


国 国 | 国 || 


每 个 网 段 都 属于 不 同 的 冲突 域 ， 
而 所 有 网 段 都 属于 同一 个 广播 域 


图 1-16 互联 网 络 中 的 交换 机 


对 房地产 业 来 说 ， 最 重要 的 因素 是 位 置 ， 对 第 2 层 和 第 3 层 设 备 来 说 也 如 此 。 虽 然 第 2 层 设 备 和 
第 3 层 设备 都 需要 了 解 网 络 ， 但 它们 关心 的 重点 截然 不 同 。 第 3 层 设备 〈 如 路 由 器 ) 需要 确定 网 络 的 
位 置 ， 而 第 2 层 设 备 〈 交换 机 和 网 桥 ) 需要 确定 设备 的 位 置 。 因 此 ， 网 络 之 于 路 由 器 犹如 设备 之 于 交 
换 机 和 网 桥 ， 而 提供 了 互联 网 络 地 图 的 路 由 选择 表 之 于 路 由 器 犹如 提供 了 设备 地 图 的 过 滤 表 之 于 交换 
机 和 网 桥 。 

建立 过 滤 表 后 ， 第 2 层 设备 将 只 把 帧 转发 到 目标 硬件 地 址 所 属 的 网 段 : 如 果 目 标 设备 与 发 送 设备 
位 于 同一 个 网 段 ， 第 2 层 设备 将 禁止 帧 进入 其 他 网 段 ; 如 果 目 标 设备 位 于 另 一 个 网 段 ， 帧 将 只 传输 到 
该 网 段 。 这 称 为 透明 桥接 。 

交换 机 接口 收 到 帧 后 ， 如 果 在 过 滤 表 中 找 不 到 其 目标 硬件 地 址 ， 交 换 机 将 把 帧 转发 到 所 有 网 段 。 
如 果 有 未 知 设备 对 这 种 转发 操作 作出 应 答 ， 交 换 机 将 更 新 其 过 滤 表 中 有 关 该 设备 位 置 的 信息 。 然 而 ， 
如 果 帧 的 目标 地 址 为 广播 地 址 ， 交 换 机 将 默认 把 所 有 广播 转发 给 与 之 相连 的 所 有 网 段 。 

接收 广播 的 所 有 设备 都 位 于 同一 个 广播 域 中 ， 这 是 个 问题 : 第 2 层 设备 传播 第 2 层 广播 风暴 ， 这 
会 极 大 地 降低 网 络 性 能 。 要 阻止 广播 风暴 在 互联 网 络 中 传播 ， 唯 一 的 办 法 是 使 用 第 3 层 设备 一 路 由 
器 。 

在 互联 网 络 中 ， 使 用 交换 机 而 不 是 集线器 的 最 大 好 处 是 ， 每 个 交换 机 端口 都 属于 不 同 的 冲突 域 ， 
而 集线器 形成 一 个 大 型 冲突 域 。 然 而 ， 即 使 使 用 了 交换 机 ， 默 认 仍 不 能 分 割 广播 域 。 交 换 机 和 网 桥 都 
没有 这 样 的 功能 ， 相 反 它 们 转发 所 有 的 广播 。 

相对 于 以 集线器 为 中 心 的 实现 来 说 , LAN 交换 的 另 一 个 优点 是 , 与 交换 机 相连 的 每 个 网 段 中 的 每 
台 设 备 都 能 同时 传输 ( 至 少 在 每 个 交换 机 端口 只 连接 一 台 主 机 ， 而 没有 连接 集线器 的 情况 下 是 这 样 
的 )。 你 可 能 猜 到 了 ， 使 用 集线器 时 ， 每 个 网 段 不 能 有 多 台 设 备 同 时 通信 。 
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1.3.7 ”物理 层 


终于 来 到 了 最 底层 。 物 理 层 有 两 项 功能 : 发送 和 接收 比特 。 比 特 的 取 值 只 能 为 0 或 1 一 一 使 用 数 
字 值 的 摩尔 斯 码 。 物 理 层 直接 与 各 种 通信 介质 交流 。 不 同类 型 的 介质 以 不 同方 式 表 示 比 特 值 ， 有 些 使 
用 音调 , 有 些 使 用 状态 切换 一 一 从 高 电 平 变 成 低 电 平 以 及 从 低 电 平 变 成 高 电 平 。 对 于 每 种 类 型 的 介质 ， 
都 需要 特定 的 协议 ， 这 些 协 议 描述 了 正确 的 比特 模式 、 如 何 将 数据 编码 成 介质 信号 以 及 物理 介质 连接 
头 的 各 种 特征 。 

物理 层 定义 了 要 在 终端 系统 之 间 激 活 、 维 护 和 断 开 物 理 链 路 ， 而 需要 满足 的 电气 、 机 械 、 规 程 
和 功能 需求 ， 还 让 你 能 够 确定 DIE ( Data Terminal Equipment ， 数 据 终 端 设备 ) 和 DCE ( Data 
Communication Equipment， 数 据 通信 设备 ) 之 间 的 接口 。( 有 些 年 老 的 电话 公司 雇员 仍 将 DCE 称 为 
数据 电路 端 接 设 备 。) DCE 通常 位 于 服务 提供 商 处 ， 而 DTE 是 与 之 相连 的 设备 。 通 常情 况 下 ，DTE 
通过 调制 解 调 器 或 CSU/DSU ( Channel Service Unit/Data Service Unit， 信 道 服务 单元 /数据 服务 单元 ) 
使 用 可 用 的 服务 。 

OSI 以 标准 的 形式 定义 了 物理 层 接头 和 各 种 物理 拓扑 ， 让 不 同 的 系统 能 够 彼此 通信 。CCNA 考试 
只 涉及 IEEE 以 太 网 标准 。 

工作 在 物理 层 的 集线器 

集线器 实际 上 是 一 种 多 端口 转发 器 。 转 发 器 接收 数字 信号 ， 进 行 放 大 或 重建 ， 然 后 通过 所 有 活动 
端口 将 其 转发 出 去 ， 而 不 查看 信号 表示 的 数据 。 有 源 集线器 都 如 此 : 从 任何 集线器 端口 收 到 任何 数字 
信号 后 ， 都 进行 放大 或 重建 ， 然 后 通过 其 他 所 有 集线器 端口 将 其 转发 出 去 。 这 意味 着 与 集线器 相连 的 
所 有 设备 都 属于 同一 个 冲突 域 ， 也 属于 同一 个 广播 域 。 图 1-17 显示 了 网 络 中 的 集线器 。 


所 有 设备 都 属于 同一 个 冲突 域 ， 也 属于 
同一 个 广播 域 
设备 共享 同一 带宽 


图 1-17 网 络 中 的 集线器 


与 转发 器 一 样 ， 集 线 器 也 不 查看 进入 的 数据 流 ， 而 只 是 将 其 转发 到 物理 介质 的 其 他 部 分 。 与 集 线 
器 相连 的 所 有 设备 都 必须 侦 听 , 看 看 是 否 有 其 他 设备 在 传输 数据 。 使 用 集线器 组 建 的 是 星 型 物理 网 络 ， 
其 中 集线器 位 于 网 络 中央 , 电缆 从 集线器 发 出 向 各 个 方向 延伸 。 从 视觉 上 说 , 这 种 设计 确实 是 星 型 的 ， 
但 这 种 以 太 网 使 用 的 是 逻辑 总 线 拓扑 ， 这 意味 着 信号 必须 从 网 络 一 端 传输 到 男 一 端 。 


pp 但 不 推荐 这 样 做 。 pn 
注意 在 任何 情况 下 ， 人 们 都 担负 得 起 LAN 交换 机 的 费用 。 
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1.4 ”小结 


我 知道 ， 本 章 看 起 来 没有 结束 的 时 候 , 但 到 这 里 确实 结束 了 ， 你 也 阅读 完了 。 你 现在 具备 了 大 量 
基础 知识 ， 可 以 以 此 为 基础 ， 踏 上 认证 之 路 。 

本 章 首先 讨论 了 简单 的 基本 网 络 以 及 冲突 域 和 广播 域 的 差别 。 

我 接着 讨论 了 OSI 模型 ， 这 是 一 个 包含 7 层 的 模型 ， 用 于 帮助 应 用 程序 开发 人 员 设 计 可 在 任何 类 
型 的 系统 和 网 络 中 运行 的 应 用 程序 。 每 层 都 有 独特 的 任务 和 职责 ， 确 保 稳定 、 高 效 地 通信 。 本 章 中 全 
面 详细 介绍 了 每 层 ， 并 从 思科 的 角度 讨论 了 OSI 模型 的 规范 。 

另外 ，OSI 模 型 的 每 层 都 指定 了 不 同类 型 的 设备 ， 而 我 描述 了 各 层 使 用 的 设备 。 

还 记得 吗 , 集线器 属 物理 层 设备 ,将 信号 转发 给 除 信号 源 所 属 网 段 外 的 其 他 所 有 网 段 。 交 换 机 使 
用 硬件 地 址 将 网 络 分 段 ， 并 分 割 冲突 域 。 路 由 器 分 割 广播 域 ( 和 冲突 域 )， 并 使 用 逻辑 地 址 在 互联 网 
络 中 传输 分 组 。 


1.5 ”考试 要 操 


找 出 可 能 导致 LAN 拥塞 的 原因 。 广 播 域 中 的 主机 太 多 、 广 播 风暴 、 组 播 以 及 带宽 太 低 都 是 导致 
LAN 拥塞 的 可 能 原因 。 

描述 冲突 域 和 广播 域 的 差别 。 冲 突 域 是 一 个 以 太 网 术语 ， 指 的 是 这 样 一 组 联网 的 设备 ， 即 网 段 中 
的 一 台 设 备 发 送 分 组 时 ， 该 网 段 中 的 其 他 所 有 设备 都 必须 侦 听 它 。 在 广播 域 中 ， 网 段 中 的 所 有 设备 都 
侦 听 在 该 网 段 中 发 送 的 广播 。 

区 分 MAC 地 址 和 IP 地 址 ， 描 述 在 网 络 中 使 用 这 些 地 址 的 时 机 和 方式 。MAC 地 址 是 一 个 十 六 进 
制 数 ， 标 识 了 主机 的 物理 连接 。MAC 地 址 在 OSI 模型 的 第 2 层 使 用 。IP 地 址 可 表示 为 二 进 制 ， 也 可 
表示 为 十 进 制 ， 是 一 种 逻辑 标识 符 ， 位 于 OSI 模型 的 第 3 层 。 位 于 同一 个 物理 网 段 的 主机 使 用 MAC 
地 址 彼此 寻找 对 方 ， 而 当主 机 位 于 不 同 的 LAN 网 段 或 子 网 时 ， 将 使 用 IP 地 址 来 寻找 对 方 。 即 使 主机 
位 于 不 同 的 子 网 中 ， 分 组 通过 路 由 选择 到 达 目 标 网 络 后 ， 也 将 把 目标 人 P 地 址 解析 为 MAC 地 址 。 

理解 集线器 、 网 桥 、 交 换 机 和 路 由 器 的 差别 。 集 线 器 创建 一 个 冲突 域 和 一 个 广播 域 。 网 桥 分 割 冲 
突 域 , 但 只 形成 一 个 大 型 广播 域 , 它们 使 用 硬件 地 址 来 过 滤 网 络 。 交 换 机 不 过 是 更 智能 的 多 端口 网 桥 ， 
它们 分 割 冲突 域 ， 但 默认 创建 一 个 大 型 广播 域 。 交 换 机 使 用 硬件 地 址 过 滤 网 络 。 路 由 器 分 割 冲 突 域 和 
广播 域 ， 并 使 用 逻辑 地 址 过 滤 网 络 。 

了 解 路 由 器 的 功能 和 优点 。 路 由 器 执行 分 组 交换 、 过 滤 和 路 径 选择 ， 帮 助 完成 互联 网 络 通信 。 路 
由 器 的 优点 之 一 是 ， 可 减少 广播 流量 。 

区 分 面向 连接 的 网 络 服务 和 无 连接 网 络 服务 ， 描 述 网 络 通信 和 期间 如 何 处 理 这 两 种 服务 。 面 向 连接 
的 服务 使 用 确认 和 流量 控制 来 建立 可 靠 的 会 话 ， 与 无 连接 网 络 服务 相 比 ， 其 开销 更 高 。 无 连接 服务 用 
于 发 送 无 需 进行 确认 和 流量 控制 的 数据 ， 但 不 可 靠 。 

定义 OSI 模型 的 各 层 ， 了 解 每 层 的 功能 ， 描 述 各 种 设备 和 网 络 协议 所 属 的 层 。 你 必须 牢记 OSI 
模型 的 7 层 以 及 每 层 提 供 的 功能 。 应 用 层 、 表 示 层 和 会 话 层 属 于 上 层 ， 负 责 用 户 界 面 和 应 用 程序 之 间 
的 通信 。 传 输 层 提供 分 段 、 排 序 和 虚 电 路 。 网 络 层 提供 逻辑 网 络 编 址 以 及 在 互联 网 络 中 路 由 的 功能 。 
数据 链 路 层 提供 了 将 数据 封装 成 帧 并 将 其 放 到 网 络 介 质 上 的 功能 。 物 理 层 负 责 将 收 到 的 0 和 1 编码 成 
数字 信号 ， 以 便 在 网 段 中 传输 。 
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1.6 书面 实验 


在 本 节 中 ， 你 将 完成 如 下 实验 ， 确 保 完全 明白 了 其 中 涉及 的 信息 和 概念 。 
实验 1.1: OSI 问题 。 

实验 1.2: 定义 OSI 模型 的 各 层 及 其 使 用 的 设备 。 

实验 1.3: 识别 冲突 域 和 广播 域 。 

( 书面 实验 的 答案 见 本 章 复 习题 答案 的 后 面 。 ) 


1.6.1 书面 实验 1.1: OSI 问题 


请 回答 下 述 有 关 OSI 模型 的 问题 。 

(1) 哪 一 层 选 择 通 信 伙 伴 并 判断 其 可 用 性 、 判 断 建 立 连 接 所 需 资源 的 可 用 性 、 协 调 参与 通信 的 应 
用 程序 ， 并 就 控制 数据 完整 性 和 错误 恢复 的 流程 达成 一 致 ? 

(2) 哪 一 层 负责 将 来 自 数 据 链 路 层 的 数据 分 组 转换 为 电信 和 号 ? 

(3) 哪 一 层 实 现 路 由 选择 ， 在 终端 系统 之 间 建 立 连 接 并 选择 路 径 ? 

(4) 哪 一 层 定 义 了 如 何 对 数据 进行 格式 化 、 表 示 、 编 码 和 转换 ， 以 便 在 网 络 中 使 用 ? 

(5) 哪 一 层 负责 在 应 用 程序 之 间 建 立 、 管 理 和 终止 会 话 ? 

(6) 哪 一 层 确 保 通 过 物理 链 路 可 靠 地 传输 数据 ， 且 主要 与 物理 地 址 、 线 路 管理 、 网 络 拓扑 、 错 误 
通知 、 按 顺序 传输 帧 以 及 流量 控制 有 关 ? 

(7) 哪 一 层 用 于 让 终端 节点 能 够 通过 网 络 进行 可 靠 的 通信 ， 提 供 建立 、 维 护 、 拆 除 虚 电路 的 机 制 ， 
提供 传输 错误 检测 和 恢复 的 机 制 ， 并 提供 流量 控制 机 制 ? 

(8) 哪 一 层 提 供 逻 辑 地 址 ， 供 路 由 器 用 来 决定 传输 路 径 ? 

(9) 哪 一 层 指 定 了 电 平 、 线 路 速度 和 电缆 针脚 ， 并 在 设备 之 间 传 输 比 特 ? 

(10) 哪 一 层 将 比特 合并 成 字 节 ， 再 将 字 节 封装 成 帧 ， 使 用 MAC 地 址 ， 并 提供 错误 检测 功能 ? 

(11) 哪 一 层 负 责 在 网 络 中 将 来 自 不 同 应 用 程序 的 数据 分 开 。 

(12) 哪 一 层 的 数据 表示 为 帧 ? 

(13) 哪 一 层 的 数据 表示 为 数据 段 ? 

(14) 哪 一 层 的 数据 表示 为 分 组 ? 

(15) 哪 一 层 的 数据 表示 为 比特 ? 

(16) 按 封 装 顺 序 排列 下 列 各 项 : 

分 组 巾 比特 数据 段 

(17) 哪 一 层 对 数据 进行 分 段 和 重组 ? 

(18) 哪 一 层 实际 传输 数据 ， 并 处 理 错 误 通 知 、 网 络 拓扑 和 流量 控制 ? 

(19) 哪 一 层 管 理 设备 编 址 、 跟 踪 设 备 在 网 络 中 的 位 置 并 决定 传输 数据 的 最 佳 路 径 ? 

(20) MAC 地 址 长 多 少 位 ? 以 什么 方式 表示 ? 


1.6.2 ”书面 实验 1.2: 定义 OSI 模型 的 各 层 及 其 使 用 的 设备 
在 下 面 的 空白 区 域 填 上 合适 的 OSI 层 或 设备 ( 集线器、 交换 机 、 路 由 器 )。 


24 第 1 章 网 络 互 联 


描述 设备 或 OSI 层 
这 种 设备 收发 有 关 网 络 层 的 信息 

该 层 在 两 个 终端 之 间 传 输 数据 前 建立 虚 电 路 

这 种 设备 使 用 硬件 地 址 过 滤 网 络 

以 太 网 是 在 这 些 层 定义 的 

该 层 支持 流量 控制 、 排 序 和 确认 

这 种 设备 可 度量 离 远 程 网 络 的 蝶 离 

该 层 使 用 逻辑 地 址 

该 层 定义 了 硬件 地 址 

这 种 设备 创建 一 个 大 型 冲突 域 和 一 个 大 型 广播 域 

这 种 设备 创建 很 多 更 小 的 冲突 域 ， 但 网 络 仍 属于 一 个 大 型 广播 域 
这 种 设备 不 能 以 全 双 工 方式 运行 

这 种 设备 分 割 冲突 域 和 广播 域 


1.6.3 书面 实验 1.3: 识别 冲突 域 和 广播 域 


(1) 确定 下 图 中 每 台 设 备 连接 的 冲突 域 数 量 和 广播 域 数量 ， 其 中 每 台 设备 都 用 一 个 字母 表示 。 
A. 集线器 B. 网 桥 C. 交换 机 D. 路 由 器 
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1.7 复习 题 


下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
注意 信息， 请 参阅 本 书 的 前 言 。 


(1) 作为 接收 方 的 主机 未 全 部 收 到 它 应 确认 的 数据 段 。 为 改善 当前 通信 会 话 的 可 靠 性 ， 该 主机 可 如 


何 做 ? 

A. 发 送 不 同 的 源 端 口号 B. 重启 虚 电 路 
C. 减 小 序号 D. 缩小 窗口 

(2) 主机 将 数据 传输 到 MAC 地址 任 任 佳 储 佳作 时 ， 这 种 通信 属于 哪 种 类 型 ? 
A. 单 播 B. 组 播 
C. 任意 播 D. 广播 

(3) 下 面 哪 两 种 第 1 层 设 备 可 用 于 增 大 单个 LAN 网 段 覆盖 的 区 域 ? 
A. 交换 机 B. 网 卡 C. 集线器 
D. 转发 器 E. RJ45 收发 器 

(4) 对 数据 流 进行 分 段 发 生 在 OSI 模型 的 哪 一 层 ? 
A. 物理 层 B. 数据 链 路 层 
C. 网 络 层 D. 传输 层 

(5) 下 面 哪 4 项 描述 了 路 由 器 的 主要 功能 ? 
A. 分 组 交换 B. 冲突 防范 C. 分 组 过 滤 
D. 增 大 广播 域 E. 互联 网 络 通信 F. 广播 转发 
G. 路 径 选择 


(6) 路 由 器 运行 在 第 层 ; LAN 交换 机 运行 在 第 层 ; 以 太 网 集线器 运行 在 第 _ 层 ; 字 处 理 程序 
运行 在 第 层 。 


A.3、3、1、7 B.3、2、1、 无 
C.3、2、1、7 D.2、3、1、7 
E.3、3、2、 无 
(7) 封装 数据 时 ， 下 面 哪 种 顺序 是 正确 的 ? 
A. 数 据 、 帧 、 分 组 、 数 据 段 、 比 特 B. 数据 段 、 数 据 、 分 组 、 帧 、 比 特 
C. 数据 、 数 据 段 、 分 组 、 帧 、 比 特 D. 数据 、 数 据 段 、 帧 、 分 组 、 比 特 


(8) 数据 通信 行业 为 何 使 用 分 层 的 OSI 参考 模型 ( 选择 两 项 ) ? 

A. 它 将 网 络 通信 过 程 划 分 成 更 小 、 更 简单 的 组 件 ， 从 而 有 助 于 组 件 开发 、 设 计 和 故障 排除 

B. 它 让 不 同 厂商 的 设备 能 够 使 用 相同 的 电子 元 件 ， 从 而 节省 了 研发 资金 

C. 它 支 持 制定 多 个 相互 竞争 的 标准 ， 从 而 为 设备 制造 商 提 供 了 商业 机 会 

D. 它 定义 了 每 个 模型 层 的 功能 ， 从 而 鼓励 行业 标准 化 

E. 它 提供 了 一 个 框架 ， 对 一 层 的 功能 进行 修改 后 ， 根 据 该 框架 可 知道 必须 对 其 他 层 做 修改 
(9) 使 用 网 桥 对 网 络 进行 分 段 可 实现 哪 两 个 目的 ? 

A. 增加 广播 域 B. 增加 冲突 域 

C. 向 用 户 提供 更 高 的 带宽 D. 让 用 户 能 够 发 送 更 多 的 广播 
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(10) 下 面 哪 项 不 是 导致 LAN 拥塞 的 原因 ? 


A. 广播 域内 的 主机 太 多 B. 为 建立 连接 在 网 络 中 添加 交换 机 
C. 广播 风暴 D. 带宽 太 低 
(11) 如 果 一 台 交 换 机 连接 了 3 台 计 算 机 ， 且 没有 配置 VLAN， 请 问 该 交换 机 创建 了 多 少 个 冲突 域 和 广 
播 域 ? 
A.3 个 广播 域 和 1 个 冲突 域 B. 3 个 广播 域 和 3 个 冲突 域 
C. 1 个 广播 域 和 3 个 冲突 域 D. 1 个 广播 域 和 1 个 冲突 域 
(12) 确认 、 排 序 和 流量 控制 是 哪个 OSI 模 型 层 的 功能 ? 
A. 第 2 层 B. 第 3 层 C. 第 4 层 D. 第 7 层 
(13) 下 面 哪些 是 流量 控制 方式 (选择 所 有 正确 项 ) ? 
A. 缓冲 B. 直通 转发 技术 ( cut-through ) C. 窗口 技术 
D. 拥塞 避免 E.VLAN 
(14) 如 果 1 台 集线器 与 3 台 计 算 机 相连 ， 该 集线器 创建 了 多 少 个 冲突 域 和 广播 域 ? 
A.3 个 广播 域 和 1 个 冲突 域 B. 3 个 广播 域 和 3 个 冲突 域 
C. 1 个 广播 域 和 3 个 冲突 域 D. 1 个 广播 域 和 1 个 冲突 域 
(15) 流量 控制 有 何 目的 ? 


A. 确保 没有 收 到 确认 时 将 重 传 数据 
B. 在 旧 标 设备 处 按 正确 的 顺序 重组 数据 段 
C. 提供 了 一 种 机 制 ， 让 接收 方 能 够 控制 发 送 方 发 送 的 数据 量 
D. 控制 每 个 数据 段 的 长 度 
(16) 下 面 哪 3 种 有 关 全 双 工 以 太 网 运行 方式 的 说 法 是 正确 的 ? 
A. 在 全 双 工 模式 下 不 会 发 生 冲 突 
B. 每 个 全 双 工 节点 都 必须 有 一 个 专用 的 交换 机 端口 
C. 以 太 网 集线器 端口 被 预先 配置 为 全 双 工 模式 
D. 在 全 双 工 环境 中 ， 在 传输 数据 前 ， 主 机 的 网 卡 必须 检查 网 络 介质 是 否 可 用 
E. 主机 的 网 卡 和 交换 机 端口 必须 能 够 以 全 双 工 模式 运行 
(17) 下 面 哪 一 项 不 是 诸如 OSI 模型 等 参考 模型 的 优点 ? 
A. 对 一 层 的 修改 将 影响 其 他 所 有 各 层 
B. 网 络 通 信 过 程 被 划分 成 更 小 、 更 简单 的 组 件 ， 从 而 有 助 于 组 件 开 发 、 设 计 和 故障 排除 
C. 通过 网 络 组 件 标准 化 支持 多 厂商 联合 开发 
D. 让 各 种 类 型 的 网 络 硬件 和 软件 能 够 相同 通信 
(18) 下 面 哪 种 设备 不 运行 在 OSI 模型 的 所 有 层 ? 


A. 网 络 管理 工作 站 (NMS ) B. 路 由 器 
C. Web 和 应 用 程序 服务 器 D. 网 络 主机 
(19) 远程 检索 HTTP 文档 时 ， 必 须 首 先 访问 OSI 模型 的 哪 一 层 ? 
A. 表示 层 B. 传输 层 C. 应 用 层 D. 网 络 层 


(20) OSI 模 型 的 哪 一 层 提供 了 3 种 不 同 的 通信 模式 : 单 工 、 半 双 工 和 全 双 工 ? 
A. 表示 层 B. 传输 层 C. 应 用 层 D. 会 话 层 
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1.8 复习 题 答 案 


(1) D。 作 为 接收 方 的 主机 可 使 用 流量 控制 (默认 情况 下 ，TCP 使 用 窗口 技术 ) 控制 发 送 方 。 通 过 缩小 
窗口 ， 作 为 接收 方 的 主机 可 降低 发 送 方 的 传输 速度 ， 从 而 避免 缓冲 区 溢出 。 

(2) D。 发 送 给 MAC 地 址 任 任 企 任 任 全 的 数据 是 给 所 有 工作 站 的 广播 。 

(3)C、D。 你 并 非 真 的 想 增 大 冲突 域 ， 但 集线器 ( 多 端口 转发 器 ) 可 提供 这 种 功能 。 

(4) D。 传 输 层 从 上 层 接收 大 型 数据 ， 将 其 分 割 成 较 小 的 片段 ， 这 些 片段 称 为 数据 段 。 

(5) A、C、E、G。 路 由 器 提供 分 组 交换 、 分 组 过 滤 、 互 联网 络 通信 以 及 路 径 选 择 功 能 。 虽 然 路 由 器 确 
实 分 割 或 终止 冲突 域 ， 但 这 不 是 路 由 器 的 主要 功能 ， 因 此 选项 B 不 正确 。 

(6) B。 路 由 器 运行 在 第 3 层 ，LAN 交换 机 运行 在 第 2 层 ， 以 太 网 集线器 运行 在 第 1 层 。 字 处 理 程序 与 


” 应 用 层 接口 通信 ， 但 并 非 运 行 在 第 7 层 ， 因 此 答案 为 “无 ”。 


(7) C。 封 装 顺 序 为 数据 、 数 据 段 、 分 组 、 帧 、 比 特 。 

(8) A、D。 分 层 模型 的 主要 优点 是 ， 让 应 用 程序 开发 人 员 能 够 只 在 分 层 模型 的 某 一 层 修改 程序 的 部 分 
功能 。 使 用 OSI 分 层 模 型 的 优点 包括 但 不 限于 : 将 网 络 通信 过 程 划分 成 更 小 、 更 简单 的 组 件 ， 这 有 助 于 组 
件 的 开发 、 设 计 和 故障 排除 ; 通过 标准 化 网 络 组 件 ， 让 多 家 厂商 能 够 协作 开发 ; 定义 了 模型 每 层 执行 的 功 
能 ， 从 而 鼓励 了 行业 标准 化 ; 让 不 同类 型 的 网 络 硬件 和 软件 能 够 彼此 通信 ;避免 对 一 层 的 修改 影响 其 他 层 ， 
从 而 避免 妨碍 开发 工作 。 

(9) A、D。 不 同 于 全 双 工 ， 半 双 工 以 太 网 运行 在 一 个 共享 的 冲突 域 中 ， 其 有 效 吞 吐 量 低 于 全 双 工 模式 。 

(10) B。 在 网 络 中 为 建立 连接 添加 交换 机 可 缓解 LAN 拥塞 ， 而 不 会 导致 LAN 拥塞 。 

(11) C。 如 果 1 台 交 换 机 连接 了 3 台 计 算 机 ， 且 没有 配置 VLAN， 它 将 创建 1 个 广播 域 和 3 个 冲突 域 。 

(12) C。 可 靠 的 传输 层 连接 使 用 确认 来 确保 所 有 数据 都 被 可 靠 地 传输 和 接收 。 可 靠 的 连接 是 由 虚 电 路 提 
供 的 ， 它 使 用 确认 、 排 序 和 流量 控制 一 一 这 些 是 传输 层 (第 4 层 ) 的 功能 。 

(13) A、C、D。 常 见 的 流量 控制 方式 包括 缓冲 、 窗 口技 术 和 拥塞 避免 。 

(14) D。 如 果 1 台 集 线 器 与 3 台 计 算 机 相连 ， 将 创建 1 个 冲突 域 和 1 个 广播 域 。 

(15) C。 流 量 控制 让 接收 设备 能 够 控制 发 送 方 ， 从 而 避免 接收 设备 的 缓冲 区 溢出 。 

(16) A、B、BE。 全 双 工 意味 着 可 使 用 两 对 导线 同时 发 送 和 接收 数据 。 每 个 节点 都 必须 有 专用 的 交换 机 
端口 ， 这 意味 着 不 会 发 送 冲 突 。 主 机 的 网 卡 和 交换 机 端口 都 必须 支持 全 双 工 模式 ， 并 设置 为 这 种 模式 。 

(17) A。 参 考 模型 可 避免 ( 而 不 是 导致 ) 对 一 层 的 修改 影响 其 他 层 ， 从 而 避免 妨碍 开发 。 

(18) B。 路 由 器 的 运行 位 置 不 超过 OSI 模型 的 第 3 层 。 

(19) C。 必 须 远 程 检索 HTTP 文档 时 ， 必 须 首先 访问 应 用 层 。 

(20) D。OSI 模 型 的 会 话 层 提 供 了 3 种 不 同 的 通信 模式 : 单 工 、 半 双 工 和 全 双 工 。 


1.9 书面 实验 1.1 答案 


(1) 应 用 层 负责 寻找 服务 器 提供 的 网 络 资源 ， 并 提供 流量 控制 和 错误 控制 功能 ( 如 果 应 用 程序 开发 人 员 
选择 这 样 做 ) 

(2) 物理 层 接收 来 自 数据 链 路 层 的 帧 ， 将 0 和 1 编码 成 数字 信和 号， 以便 在 网 络 介质 上 传输 

(3) 网 络 层 提 供 了 在 互联 网 络 中 进行 路 由 选择 的 功能 ， 还 提供 了 逻辑 地 址 

(4) 表示 层 确保 数据 为 应 用 层 能 够 理解 的 格式 

(5) 会 话 层 在 应 用 程序 之 间 建 立 、 维 护 并 终止 会 话 
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(6) 数据 链 路 层 的 PDU 称 为 帧 ， 该 层 还 提供 物理 编 址 以 及 将 分 组 放 到 网 络 介质 上 的 其 他 选项 
(7) 传输 层 使 用 虚 电 路 在 主机 之 间 建 立 可 靠 的 连接 

(8) 网 络 层 提供 了 逻辑 地 址 (这 通常 是 下 地 址 ) 和 路 由 选择 功能 
(9) 物理 层 负 责 在 设备 之 间 建 立 电气 和 机 械 连接 

(10) 数据 链 路 层 负责 将 数据 分 组 封装 成 帧 

(11) 会 话 层 在 不 同 主机 的 应 用 程序 之 间 建 立会 话 

(12) 数据 链 路 层 将 从 网 络 层 收 到 的 分 组 封装 成 帧 

(13) 传输 层 将 用 户 数据 分 段 

(14) 网 络 层 将 来 自传 输 层 的 数据 段 封 装 成 分 组 

(15) 物理 层 负 责 以 数字 信号 的 形式 传输 1 和 0 ( 比特 ) 

(16) 数据 段 、 分 组 、 帧 、 比 特 

(17) 传输 层 

(18) 数据 链 路 层 

(19) 网 络 层 

(20) 长 48 位 (6 B ) ， 表示 为 一 个 十 六 进 制 数 


1.10 书面 实验 1.2 答案 


描 述 设备 或 OSI 层 
这 种 设备 收发 有 关 网 络 层 的 信息 路 由 器 
该 层 在 两 个 终端 之 间 传 输 数 据 前 建立 虚 电 路 传输 层 
这 种 设备 使 用 硬件 地 址 过 滤 网 络 网 桥 或 交换 机 
以 太 网 是 在 这 些 层 定义 的 数据 链 路 层 和 物理 层 
该 层 支持 流量 控制 、 排 序 和 确认 传输 层 
这 种 设备 可 度量 离 远 程 网 络 的 卡 离 路 由 器 
该 层 使 用 逻辑 地 址 网 络 层 
该 层 定义 了 硬件 地 址 数据 链 路 层 ( MAC 子 层 ) 
这 种 设备 创建 一 个 大 型 冲突 域 和 一 个 大 型 广播 域 集线器 
这 种 设备 创建 很 多 更 小 的 冲突 域 ， 但 网 络 仍 属 于 一 个 大 型 广播 域 交换 机 或 网 桥 
这 种 设备 不 能 以 全 双 工 方式 运行 集线器 
这 种 设备 分 割 冲突 域 和 广播 域 路 由 器 


1.11 ”书面 实验 1.3 答案 


(1) 集线器 : 1 个 冲突 域 ，1 个 广播 域 
(2) 网 桥 : 2 个 冲突 域 ，1 个 广播 域 

(3) 交换 机 : 4 个 冲突 域 ，1 个 广播 域 
(4) 路 由 器 : 3 个 冲突 域 ，3 个 广播 域 


第 如 章 


以 太 网 和 数据 封 效 


本 章 涵盖 如 下 CCNA 考试 要 点 。 

v 描述 网 络 的 工作 原理 

v 配置 和 验证 VLAN 和 交换 机 间 通 信 ， 并 排除 其 故障 

口 使 用 OSI 和 TCP/P 模型 及 其 相关 协议 解释 数据 是 如 何在 网 络 中 传输 的 ; 

口 选择 合适 的 介质 、 电 缆 、 端 口 和 接头 ， 将 交换 机 与 其 他 网 络 设备 和 主机 连接 起 来 ; 
口 解释 以 太 网 技术 及 其 介质 访问 控制 方法 ; 

口 解释 网 络 分 段 和 基本 的 数据 流 管理 概念 。 

接 下 来 的 几 章 将 探讨 TCP/IP 和 DoD 模型 、IP 编 址 、 子 网 划分 以 及 路 由 选择 ,但 在 此 之 前 ， 你 必 
须 对 LAN 有 大 致 认识 ， 并 知道 如 下 两 个 问题 的 答案 : 在 当前 的 网 络 中 ， 是 如 何 使 用 以 太 网 的 ; 人 
是 MAC (Media Access Control， 介 质 访问 控制 ) 地 址 以 及 如 何 使 用 它们 。 

本 章 将 回答 这 些 问 题 并 介绍 其 他 内 容 。 我 不 仅 将 论述 以 太 网 基本 知识 以 及 如 何在 以 太 网 LAN 中 
使 用 MAC 地 址 ， 还 将 介绍 在 以 太 网 中 使 用 的 数据 链 路 层 协议 。 你 还 将 学 习 各 种 以 太 网 规范 。 

正如 第 1 章 介绍 的 ,在 OSI 模型 的 各 层 指定 了 大 量 不 同类 型 的 设备 ， 另 外 ， 有 很 多 类 型 的 电缆 和 
接头 用 于 将 这 些 设备 连接 到 网 络 ， 明 白 这 一 点 很 重要 。 本 章 将 复习 用 于 连接 思科 设备 的 各 种 电缆 ， 描 
述 如 何 连 接 到 路 由 器 和 交换 机 ， 其 中 包括 使 用 控制 台 连 接 。 

另外 ， 本 章 还 将 简要 地 介绍 封装 。 封 装 指 的 是 沿 OSI 栈 向 下 对 数据 进行 编码 的 过 程 。 

最 后 ， 本 章 将 讨论 思科 开发 的 层次 模型 ， 该 模型 包含 3 层 ， 旨 在 帮助 你 设计 和 实现 互联 网 络 以 及 
排除 其 故障 。 


本 章 末尾 提供 了 20 道 复习 题 和 4 个 书面 实验 ， 旨 在 让 你 牢固 地 掌握 本 章 介绍 的 知识 ， 请 务必 完 
成 它们 。 


et 


有 关 本 章 内 容 的 最 新 修订 ， ， 请 访问 问 www.lammle.com 或 ， www.Sybex.comygo/ccna7e。 


注意 


2.1 以 太 网 回顾 


以 太 网 是 一 种 基于 竞 用 的 介质 访问 方法 ,可 让 一 个 网 络 中 的 所 有 主机 共享 链 路 带宽 。 以 太 网 很 常 
见 ， 因 为 它 是 可 扩展 的 ， 这 意味 着 在 现 有 网 络 基础 设施 中 引入 新 技术 ( 如 从 快速 以 太 网 升级 到 吉 比 特 
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以 太 网 ) 相对 容易 。 另 外 ， 以 太 网 实现 起 来 也 相对 简单 ， 这 使 得 排除 故障 也 比较 容易 。 以 太 网 使 用 了 
数据 链 路 层 规范 和 物理 层 规范 ， 本 章 将 介绍 数据 链 路 层 和 物理 层 知识 ， 这些 知识 足以 帮助 你 高 效 地 实 
现 和 维护 以 太 网 以 及 排除 其 故障 。 


2.1.1 冲突 域 

正如 第 1 章 指出 的 ， 冲 突 域 是 一 个 以 太 网 术语 ， 指 的 是 这 样 一 种 网 络 情形 ， 即 网 段 上 的 一 台 设 备 
发 送 分 组 时 ,该 物理 网 段 上 的 其 他 所 有 设备 都 必须 侦 听 它 。 这 很 糟糕 ， 因 为 如 果 同 一 个 物理 网 段 中 的 
两 台 设 备 同时 传输 数据 ， 将 发 生 冲 突 ( 即 两 台 设备 的 数字 信号 将 在 线路 上 相互 干扰 )， 导 致 设备 必须 
在 以 后 重 传 数据 。 冲 突 对 网 络 性 能 有 严重 的 负面 影响 ， 因 此 绝对 要 避免 冲突 。 


前 面 描述 的 情形 通常 出 现在 集线器 环境 中 , 在 这 种 环境 中 ， 所 有 主机 都 连接 到 一 个 集线器 ， 它 们 
组 成 一 个 冲突 域 和 一 个 广播 域 。 这 令 人 想到 了 第 1 章 讨论 过 的 问题 : 什么 是 广播 域 ? 


2.1.2 广播 域 


广播 域 的 书面 定义 如 下 : 广播 域 指 的 是 网 段 中 的 一 组 设备 , 它们 侦 听 在 该 网 段 上 发 送 的 所 有 广播 。 

广播 域 的 边界 通常 为 诸如 交换 机 和 路 由 器 等 物理 介质 ,但 广播 域 也 可 能 是 一 个 逻辑 网 段 ， 其 中 每 
台 主 机 都 可 通过 数据 链 路 层 ( 硬件 地 址 ) 广播 访问 其 他 所 有 主机 。 

介绍 广播 域 的 基本 概念 后 ， 下 面 来 看 看 半 双 工 以 太 网 使 用 的 一 种 冲突 检测 机 制 。 


2.1.3 CSMA/CD 


以 太 网 使 用 CSMA/CD ( Carrier Sense Multiple Access with Collision Detection， 载 波 侦 听 多 路 访问 / 
冲突 检测 )， 这 是 一 种 帮助 设备 均衡 地 共享 带宽 的 协议 ， 可 避免 两 台 设 备 同 时 在 网 络 介质 上 传输 数据 。 
多 个 节点 同时 传输 分 组 时 ， 将 发 生 冲 突 ， 而 开发 CSMA/CD 就 旨 在 避免 这 种 问题 。 请 相信 我 ， 妥 善 的 
冲突 管理 至 关 重要 ， 因 为 在 CSMA/CD 网 络 中 ， 一 个 节点 传输 数据 时 ， 其 他 所 有 节点 都 将 接收 并 查看 
这 些 数 据 。 只 有 交换 机 和 路 由 器 才能 避免 数据 传 遍 整个 网 络 。 

那么 ，CSMA/CD 协议 是 如 何 工作 的 呢 ? 先 来 看 看 图 2-1。 

主机 想 通过 网 络 传输 数据 时 ， 它 首先 检查 线路 上 是 否 有 数字 信和 号。 如 果 没 有 其 他 主机 传输 数据 ， 
该 主机 将 开始 传输 数据 。 但 到 这 里 并 非 万 事 大 吉 ， 传 输 主机 将 持续 地 监视 线路 ， 确 保 没 有 其 他 主机 开 
始 传输 。 如 果 该 主机 在 线路 上 检测 到 其 他 信号 ， 它 将 发 送 一 个 扩展 的 拥堵 信号 (jam signal )， 使 网 段 
上 的 所 有 节点 都 不 再 发 送 数据 ( 想 想 电话 忙 音 吧 )。 检 测 到 拥堵 信号 后 ， 其 他 节点 将 等 待 一 段 时 间 再 
尝试 传输 。 后 退 算法 决定 了 发 生 冲突 的 工作 站 多 长 时 间 后 可 重新 传输 ， 如 果 连 续 15 次 尝试 都 导致 冲 
突 ， 尝 试 传输 的 节点 将 超时 。 

在 以 太 网 LAN 中 发 生 冲 突 后 ， 将 出 现 如 下 情况 : 

口 拥堵 信号 告诉 所 有 设备 发 生 了 冲突 ; 

口 冲突 激活 随机 后 退 算法 ; 

口 以 太 网 网 段 中 的 每 台 设 备 都 暂停 传输 ， 直 到 其 后 退 定 时 器 到 期 。 

定时 器 到 期 后 ， 所 有 主机 的 传输 优先 级 都 相同 。 

CSMA/CD 网 络 持 续 发 生 严重 冲突 时 ， 将 导致 如 下 结果 : 
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口 延迟 ; 
口 低 吞 吐 量 ; 
口 拥塞 。 


国 | 国 | 国 | 国 


3 3 二 全 


载波 侦 听 多 路 访问 /冲突 检测 
图 2-1 CSMA/CD 


在 以 太 网 中 ， 后 退 指 的 是 冲突 导致 的 重 传 延迟 。 发 生 冲 突 后 ， 主 机 将 在 指定 的 
注意 ”延迟 时 间 后 重新 传输 。 后 退 延 迟 时 间 过 后 ， 所 有 工作 站 的 数据 传输 优先 级 都 相同 。 


接 下 来 的 几 节 将 详细 介绍 以 太 网 的 数据 链 路 层 (第 2 层 ) 和 物理 层 (第 1 层 )。 


2.1.4 半 双 工 和 全 双 工 以 太 网 


半 双 工 以 太 网 是 在 最 初 的 以 太 网 规范 IEEE 802.3 中 定义 的 。 思 科 认 为 ， 半 双 工 只 使 用 一 对 导线 ， 
数字 信和 号 在 导线 中 双向 传输 。IEEE 规范 对 半 双 工 的 描述 稍 有 不 同 ， 但 思科 的 说 法 大 致 描述 了 以 太 网 
中 发 生 的 情况 。 

半 双 工 以 太 网 也 使 用 CSMA/CD 协议 ， 以 帮助 防范 冲突 ， 并 在 发 生 冲突 时 支持 重 传 。 如 果 集 线 器 
与 交换 机 相连 ， 它 必须 运行 在 半 双 工 模式 下 ， 因 为 终端 必须 能 够 检测 冲突 。 半 双 工 以 太 网 的 效率 只 有 
30% 一 40%， 因 为 在 大 型 100BaseT 网 络 中 ， 通 常 最 大 传输 速度 只 有 30 一 40 Mbit/s。 


32 第 2 章 以 太 网 和 数据 封装 


与 半 双 工 以 太 网 只 使 用 一 对 导线 不 同 , 全 双 工 以 太 网 同时 使 用 两 对 导线 。 在 传输 设备 的 发 射 器 和 
接收 设备 的 接收 器 之 间 ， 全 双 工 使 用 一 条 点 到 点 连接 ， 这 意味 着 使 用 全 双 工 时 ， 数 据 传 输 速度 比 半 双 
工时 快 。 另 外 ， 由 于 使 用 不 同 的 线 对 传输 数据 和 接收 数据 ， 因 此 不 会 发 生 冲 突 。 

你 无 需 担心 冲突 ， 因 为 全 双 工 提供 了 一 条 “多 车 道 高 速 公路 " ， 而 不 像 半 双 工 那样 提供 一 条 “单车 
道 公路 ”。 全 双 工 以 太 网 在 两 个 方向 的 效率 都 为 100%, 例如 , 在 采用 全 双 工 模式 的 10 Mbits 以 太 网 中 ， 
传输 速率 为 20 Mbits， 而 在 快速 以 太 网 中 ， 传 输 速率 为 200 Mbits。 然 而 ， 这 种 速率 称 为 总 速率 ， 换 句 
话说 ,效率 为 100% 才 能 达到 ， 但 与 在 现实 生活 中 一 样 ， 在 网 络 中 这 也 是 没有 保证 的 。 

全 双 工 以 太 网 可 用 于 下 面 6 种 情形 : 

口 交换 机 到 主机 的 连接 ; 

口 交换 机 到 交换 机 的 连接 ; 

口 主机 到 主机 的 连接 ( 使 用 交叉 电缆 ); 

口 交换 机 到 路 由 器 的 连接 ( 使 用 交叉 电缆 ); 

口 路 由 器 到 路 由 器 的 连接 (使 用 交叉 电缆 ); 

口 路 由 器 到 主机 的 连接 ( 使 用 交叉 电缆 )。 


PT AT 


。 在 只 有 两 个 节点 的 情况 下 ， 全 双 工 以 太 网 要 求 使 用 点 到 点 连接 。 除 集线器 外 ， 
注意 ”其 他 所 有 设备 都 可 在 全 双 工 模式 下 运行 。 


现在 的 问题 是 , 为 何 全 双 工 以 太 网 有 时 提供 的 速度 低 于 它 支 持 的 速度 呢 ? 全 双 工 以 太 网 端口 通电 
后 , 它 首先 连接 到 快速 以 太 网 链 路 的 另 一 端 并 与 之 协商 ， 这 称 为 自动 检测 机 制 。 这 种 机 制 首先 确定 交 
换 能 力 ， 即 检查 它 能 够 在 10 Mbit/s、100 Mbits 还 是 1000 Mbit/s 的 速度 下 运行 。 然 后 ， 它 检查 能 否 在 
全 双 工 模式 下 运行 ， 如 果 不 能 ， 则 在 半 双 工 模式 下 运行 。 


KN 


possi 


别 忘 了 ， 半 双 工 以 太 网 只 有 一 个 冲突 域 ， 其 有 效 吞吐 量 比 全 双 工 以 太 网 低 。 在 
注意 ” 全 双 工 以 太 网 中 ， 通 常 每 个 端口 都 对 应 一 个 独立 的 冲突 域 ， 且 有 效 吞吐 量 更 高 。 


最 后 ， 请 牢记 如 下 要 点 : 

口 在 全 双 工 模式 下 ， 不 会 发 生 冲 突 ; 

口 每 个 全 双 工 节点 都 必须 有 一 个 专用 的 交换 机 端口 ; 

口 主机 的 网 卡 和 交换 机 端口 必须 能 够 在 全 双 工 模式 下 运行 。 
下 面 来 看 看 以 太 网 在 数据 链 路 层 的 工作 原理 。 


2.1.5 ”以 太 网 的 数据 链 路 层 


在 数据 链 路 层 ， 以 太 网 负责 以 太 网 编 址 ， 这 通常 称 为 硬件 编 址 或 MAC 编 址 。 以 太 网 还 负责 将 来 
自 网 络 层 的 分 组 封装 成 帧 ， 为 使 用 基于 竞 用 的 以 太 网 介质 访问 方法 在 本 地 网 络 中 传输 数据 做 好 准备 。 

1. 以 太 网 编 址 

下 面 介 绍 以 太 网 如 何 编 址 。 它 使 用 固化 在 每 个 以 太 网 网 卡 (NIC ) 中 的 MAC( Media Access Control， 
介质 访问 控制 ) 地 址 。MAC (硬件 ) 地 址 长 48 位 (6B )， 采 用 十 六 进 制 格式 。 
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图 2-2 说 明了 48 位 的 MAC 地 址 及 其 组 成 部 分 。 


一 一 2 位 一 一 一 | 一 一 2 位 一 一 
47 46 


OUI (组 织 唯一 标识 由 厂商 分 配 


符 ， 由 IEEE 分 配 ) 


图 2-2 以 太 网 使 用 MAC 地 址 


OUI ( Organizationally Unique Identifier， 组 织 唯一 标识 符 ) 是 由 IEEE 分 配给 组 织 的 ， 它 包含 24 
位 (3B )， 而 组 织 给 其 生产 的 每 个 网 卡 都 分 配 一 个 唯一 的 (据说 如 此 ,但 不 保证 ) 全 局 管理 地 址 ， 该 
地 址 长 24 位 (3 B )。 如 果 仔 细 查 看 图 2-2， 你 将 发 现 最 高 位 为 /G( Individual/Group ) 位 : 如 果 它 的 
值 为 0， 我 们 就 可 认为 相应 的 地 址 为 某 台 设备 的 MAC 地 址 ， 很 可 能 出 现在 MAC 报头 的 源 地 址 部 分 ; 
如 果 它 的 值 为 1， 我 们 就 可 认为 相应 的 地 址 要 么 是 以 太 网 中 的 广播 地 址 或 组 播 地 址 ， 要 么 是 令 牌 环 和 
FDDI 中 的 广播 地 址 或 功能 地 址 。 

接 下 来 是 G/L 位 (全 局 /本 地 位 ， 也 称 为 UL 位 ， 其 中 U 表示 universal ): 如 果 这 一 位 为 0， 则 表 
示 相 应 的 地 址 为 全 局 管理 地 址 ， 由 IEEE 分 配 ; 如 果 为 1， 则 表示 相应 的 地 址 为 本 地 管理 地 址 。 在 以 
太 网 地 址 中 ,右边 24 位 为 本 地 管理 (制造 商 分 配 ) 的 编码 ， 特 定制 造 商 生 产 第 一 个 网 卡 时 ， 通 常 将 
这 部 分 设置 为 24 个 0， 然 后 依次 递增 ， 直 到 将 其 生产 的 第 1 677 216 个 网 卡 设置 为 24 个 1。 实 际 上 ， 
很 多 制造 商都 将 这 部 分 地 址 对 应 的 十 六 进 制 值 作 为 网 卡 序 列 号 的 最 后 6 个 字符 。 

2. 从 二 进 制 转换 为 十 进 制 和 十 六 进 制 

介绍 TCP/IP 协 议和 到 地 址 ( 见 第 3 章 ) 前 ， 你 需要 真正 明白 二 进 制 、 十 进 制 和 十 六 进 制 数 之 间 
的 差别 以 及 如 何在 这 些 格式 之 间 转 换 ， 这 很 重要 。 

下 面 首先 介绍 二 进 制 ， 它 非常 简单 。 二 进 制 只 使 用 数字 0 和 1， 其 中 每 个 数字 对 应 于 一 位 〈 二 进 
制 位 )。 通 常 ， 我 们 将 每 4 位 或 8 位 作为 一 组 ， 分 别称 它们 为 半 字 节 (nibble ) 和 字 节 。 

我 们 感 兴趣 的 是 二 进 制 值 对 应 的 十 进 制 值 一 一 十 进 制 以 10 为 基数 ， 我 们 从 幼儿 园 起 就 开始 使 用 
它 了 。 二 进 制 位 按 从 右 向 左 的 顺序 排列 ， 每 向 左 移 动 一 位 ， 位 值 就 翻 一 倍 。 

表 2-1 列 出 了 半 字 节 和 字 节 中 各 位 代表 的 十 进 制 值 。 别 忘 了 ， 半 字 节 包含 4 位 ， 字 节 包 含 8 位。 


表 2-1 二 进 制 值 
半 字 节 中 各 位 的 位 值 字 节 中 各 位 的 位 值 
8421 128 6432168421 


这 意味 着 如 果 某 一 位 的 取 值 为 1， 则 计算 半 字 节 或 字 节 对 应 的 十 进 制 值 时 ， 应 将 其 位 值 与 其 他 所 
有 取 值 为 1 的 位 值 相 加 。 如 果 为 0， 则 不 考虑 。 

下 面 更 详细 地 阐述 这 一 点 。 如 果 半 字 节 的 每 一 位 都 为 1， 则 将 8、4、2 和 1 相 加 ， 结 果 为 15 一 一 
半 字 节 的 最 大 取 值 。 假 设 半 字 节 的 取 值 是 1010， 即 位 值 为 8 和 2 对 应 的 位 为 1， 则 对 应 的 十 进 制 值 为 
10。 如 果 半 字 节 的 取 值 为 0110， 则 对 应 的 十 进 制 值 为 6， 因 为 位 值 4 和 2 对 应 的 位 为 1。 

然而 ,， 字 节 的 最 大 取 值 比 15 要 大 得 多 ， 因 为 如 果 字 节 中 每 位 都 为 1， 则 其 取 值 如 下 ( 别 忘 了 , 字 
节 包 含 8 位 ): 
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11111111 
此 时 车 要 计算 字 节 对 应 的 十 进 制 值 ， 可 将 所 有 取 值 为 1 的 位 的 位 值 相 加 ， 如 下 所 示 : 
128+64+32+16+8+4+2+1=255 
这 是 字 节 的 最 大 可 能 取 值 。 
二 进 制 数 还 可 对 应 众多 其 他 的 十 进 制 值 ， 下 面 来 看 一 些 例子 。 假 设 二 进 制 数 取 值 如 下 : 
10010110 
哪些 位 的 取 值 为 1 呢 ? 答案 是 位 值 为 128、16、4 和 2 的 位 ， 因 此 只 需 将 这 些 位 值 相 加 : 128+ 16+4+ 
2 = 150。 再 举 个 例子 ， 假 设 二 进 制 数 取 值 如 下 : 
01101100 
哪些 位 的 取 值 为 1 呢 ? 答案 是 位 值 为 64、32、8 和 4 的 位 ， 因 此 只 需 将 这 些 位 值 相 加 : 64+32+8+4= 
108。 再 者 ， 如 果 二 进 制 数 取 值 如 下 : 
11101000 
哪些 位 的 取 值 为 1 呢 ? 答案 是 位 值 为 128、64、32 和 8 的 位 ， 因 此 只 需 将 这 些 位 值 相 加 : 128+64+32+ 
8= 232。 
阅读 第 3 章 和 第 4 章 与 IP 相关 的 内 容 前 ， 你 应 牢记 表 2-2 的 内 容 。 


表 2-2 ”二 进 制 到 十 进 制 转换 表 


二 进 制 值 十 进 制 值 
10000000 128 
11000000 192 
11100000 224 
11110000 240 
11111000 248 
11111100 252 
11111110 254 


11111111 255 


十 六 进 制 地 址 与 二 进 制 和 十 进 制 完 全 不 同 , 我 们 通过 读 取 半 字 节 将 二 进 制 转换 为 十 六 进 制 。 通 过 
半 字 节 ， 我 们 可 轻松 地 将 二 进 制 转换 成 十 六 进 制 。 首 先 需要 明白 的 是 ， 十 六 进 制 只 能 使 用 数字 0 一 9， 
而 不 能 使 用 10、11、12 等 ( 因为 它们 是 二 位 数 )， 因 此 使 用 4、B、C、D、E 和 F 分 别 表示 10、11、 
12、13、14 和 15。 


十 进 制 使 用 10 个 数字 ， 十 六 进 制 又 使 用 了 字母 表 的 前 6 个 字母 ， 即 4 ~ 下 。 


表 2-3 列 出 了 每 个 十 六 进 制 数字 对 应 的 二 进 制 值 和 十 进 制 值 。 
表 2-3 十 六 进 制 到 二 进 制 和 十 进 制 的 转换 表 


十 六 进 制 值 二 进 制 值 十 进 制 值 
0 0000 0 
1 0001 1 


2 0010 2 
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( 续 ) 
十 六 进 制 值 二 进 制 值 十 进 制 值 
3 0011 3 
4 0100 4 
5 0101 5 
6 0110 6 
7 0111 7 
8 1000 8 
9 1001 9 
A 1010 | 10 
B 1011 11 
© 1100 12 
D 1101 13 
E 1110 14 
F 1111 15 


前 10 个 十 六 进 制 数 字 (0~ 9 ) 与 相应 的 十 进 制 值 相同 ， 你 注意 到 了 吗 ? 因此 ， 这 些 值 转换 起 来 非 
常 容易 。 

假设 有 十 六 进 制 数 0x6A ( 有 时 候 ， 思 科 喜 欢 在 字符 前 添加 0x， 让 你 知道 它们 是 十 六 进 制 值 。0x 
并 没有 其 他 特殊 含义 )， 它 对 应 的 二 进 制 值 和 十 进 制 值 是 多 少 呢 ? 你 只 需 记 住 ， 每 个 十 六 进 制 字符 相 
当 于 半 字 节 ， 而 两 个 十 六 进 制 字符 相当 于 一 字 节 。 要 计算 该 十 六 进 制 数 对 应 的 二 进 制 值 ， 可 将 这 两 个 
字符 分 别 转换 为 半 字 节 ,然后 将 它们 合并 为 一 个 字 节 :6=0110, 而 A= 1010, 因 此 整个 字 节 为 01101010。 

要 从 二 进 制 转换 为 十 六 进 制 ， 只 需 将 字 节 划分 为 半 字 节 ， 下 面具 体 解 释 这 一 点 。 

假设 有 二 进 制 数 01010101。 首 先 将 其 划分 为 半 字 节 0101 和 0101， 这些 半 字 节 的 值 都 是 5， 因为 
取 值 为 1 的 位 对 应 的 位 值 分 别 是 1 和 4。 因 此 , 其 十 六 进 制 表 示 为 0x55。 要 将 二 进 制 数 01010101 转换 
为 十 进 制 数 ， 方 法 为 64+16+4+1= 85。 

下 面 是 另 一 个 二 进 制 数 ， 

11001100 
其 中 1100=12，1100= 12， 因 此 它 对 应 的 十 六 进 制 数 为 CC。 将 其 转换 为 十 进 制 时 ， 答 案 为 128 + 64+ 
8+4=204。 

下 面 再 介绍 一 个 例子 ， 假 设 有 如 下 二 进 制 数 ， 

10110101 
它 对 应 的 十 六 进 制 数 为 0xB5， 因 为 1011 对 应 的 十 六 进 制 值 为 B，0101 对 应 的 十 六 进 制 值 为 5。 将 其 
转换 为 十 进 制 时 ， 结 果 为 128 +32+16+4+1=181。 


要 进行 更 多 二 进 制 /十 六 进 制 /十 进 制 转换 ， 请 参阅 书面 实验 2.1。 


3. 以 太 网 帧 
数据 链 路 层 负责 将 比特 合并 成 字 节 ， 再 将 字 节 封装 成 帧 。 在 数据 链 路 层 ， 我 们 使 用 帧 封装 来 自 网 
络 层 的 分 组 ， 以 便 通过 特定 类 型 的 介质 进行 传输 。 
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以 太 网 工作 站 的 职责 是 ， 使 用 MAC 帧 格式 彼此 传递 数据 巾 。 这 利用 CRC ( Cyclic Redundancy 


Check, 循环 元 余 校 验 ) 提供 了 错误 检测 功能 ,但 别 忘 了 ,这 是 错误 检测 ， 而 不 是 纠 错 。 图 2-3 说 明了 
802.3 帧 和 以 太 网 帧 的 格式 。 


Ethernet_11 


前 导 码 DA SA 类 型 数据 FCS 
8B 6B 6B 2B 4B 


802.3 Ethernet 


前 导 码 DA SA 长 度 


图 2-3 ”802.3 帧 和 以 太 网 帧 的 格式 
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使 用 一 种 帧 封装 另 一 种 帧 称 为 隧道 技术 。 


下 面 详细 介绍 802.3 帧 和 以 太 网 帧 的 各 个 字段 。 

口 前 导 码 ”交替 的 0 和 1， 在 每 个 分 组 的 开头 提供 5 MHz 的 时 钟 信号 ， 让 接收 设备 能 够 跟踪 到 
来 的 比特 流 。 

口 帧 起 始 位 置 分 隔 符 〈SFD) /同步 “前导 码 为 7B， 而 SFD (同步 ) 为 1B。SFD 的 值 为 10101011， 
其 中 最 后 两 个 1 让 接收 方 能 够 识别 中 间 的 0 和 1 交替 模式 ， 进 而 同步 并 检测 到 数据 开头 。 

口 目标 地 址 (DA) ”包含 一 个 48 位 的 值 ， 且 LSB ( Least Significant Bit， 最 低 有 效 位 ) 优先 。 
接收 方 根据 DA 判断 到 来 的 分 组 是 否 是 发 送 给 特定 节点 的 。 目标 地 址 可 以 是 单 播 地 址 、 广 播 地 
址 或 组 播 MAC 地 址 。 别 忘 了 , 广播 地 址 全 为 1 ( 在 十 六 进 制 格式 下 全 为 F), 广播 发 送 给 所 有 
设备 ， 而 组 播 只 发 送 给 网 络 中 一 组 类 似 的 节点 。 

口 源 地 址 SA) ”SA 是 一 个 48 位 的 MAC 地址， 用 于 标识 传输 设备 ， 也 使 用 LSB 优先 格式 。 
在 SA 字段 中 ， 不 能 包含 广播 地 址 或 组 播 地 址 。 

口 长 度 或 类 型 ”802.3 帧 使 用 长 度 字 段 ， 而 Ethernet II 帧 使 用 类 型 字段 标识 网 络 层 协议 。802.3 
不 能 标识 上 层 协议 ， 只 能 用 于 专用 LAN， 如 IPX。 

口 数据 这 是 网 络 层 传递 给 数据 链 路 层 的 帧 ， 其 长 度 为 46 一 1500B。 

口 帧 校 验 序列 〈FCS) FCs 字段 位 于 ， 用 于 存储 CRC ( Cyclic Redundancy Check， 循 环 宛 
余 校 验 ) 结果 的 帧 的 帧 尾 。CRC 是 一 种 数学 算法 ， 创 建 每 个 帧 时 都 将 运行 它 。 作 为 接收 方 
的 主机 收 到 帧 并 运行 CRC 时 ， 其 结果 必须 相同 ， 和 否则， 接收 方 将 认为 发 生 了 错误 ， 进 而 将 
帧 丢弃 。 
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下 面 花 点 时 间 看 看 我 们 信任 的 网 络 分 析 器 捕获 的 一 些 帧 。 正 如 你 看 到 的 ， 这 里 只 显示 了 3 个 帧 字 
段 : 目标 地 址 、 源 地 址 和 类 型 ( 这 里 表示 为 Protocol Type ): 

Destination: 00:60:f5:00:1f:27 

Source : 00:60:f5:00:1f:2C 

Protocol Type: 08-00 IP 

这 是 一 个 Ethernet_II 帧 。 注 意 ， 类 型 ( Type ) 字段 为 P， 其 十 六 进 制 表 示 为 08-00 (在 大 多 数 情 
况 下 表示 为 0x800 )。 

下 一 个 帧 包含 的 字段 与 前 一 个 帧 相同 ， 也 是 Ethemet 工 帆 : 

Destination: ff:ff:ff:ff:ff:ff Ethernet Broadcast 

Source: 02:07:01:22:de:a4 

Protocol Type: 08-00 IP 
这 个 帧 是 广播 , 你 注意 到 了 吗 ? 这 是 因为 其 目标 硬件 地 址 的 二 进 制 表示 全 为 1, 而 十 六 进 制 表示 全 为 F。 

下 面 再 来 看 一 个 Ethernet_II 帧 。 第 15 章 介 绍 IPv6 时 ， 我 们 将 再 次 介绍 这 个 示例 ， 但 正如 你 看 到 
的 ， 该 以 太 网 帧 与 被 路 由 协议 为 IPv4 的 Ethernet_II 帧 相同 。 帧 包含 的 是 IPv6 数据 时 ， 类 型 字段 的 值 
为 0x86dd， 而 包含 的 是 IPv4 数据 时 ， 类 型 字段 的 值 为 0x0800。 

Destination: IPv6-Neighbor-Discovery_00:01:00:03 (33;33:00:01:00:03) 

Source: Aopen_3e:7f:dd (00:01:80:3e:7f:dd) 

Type: IPv6 (Ox86dd) 

这 就 是 Ethermmet_II 帧 的 优点 。 由 于 包含 类 型 字段 , 无 论 使 用 哪 种 被 路 由 的 网 络 层 协 议 , Ethernet_II 
帧 都 可 包含 相应 的 数据 ， 因 为 它 能 标识 网 络 层 协议 。 
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以 太 网 最 初 是 由 DIX 集团 ( 数字 设备 公司 、Intel 公司 和 施乐 公司 ) 实现 的 。 它 们 制定 并 实现 了 第 
一 个 以 太 网 LAN 规范, 而 IEEE 在 该 规范 的 基础 上 制定 了 IEEE 802.3。 这 是 一 种 10 Mbit/s 的 网 络 , 其 
物理 介质 可 以 是 同 轴 电 缆 、 双 绞 线 或 光纤 。 

IEEE 对 802.3 进行 了 扩展 ， 制 定 了 两 个 新 标准 : 802.3u ( 快速 以 太 网 ) 和 802.3ab (使 用 5 类 电缆 
的 吉 比 特 以 太 网 )， 然 后 又 制定 了 标准 802.3ae ( 使 用 光纤 和 同 轴 电 缆 ， 速 度 为 10 Gbit/s )。 

图 2-4 说 明了 IEEE 802.3 以 及 最 初 的 以 太 网 物理 层 规范 。 


数据 链 路 层 
(MAC 屋 ) 
太 


物理 层 


100BaseTX 
100BaseFX 
100BaseT4 


图 2-4 以 太 网 物理 层 规范 


设计 LAN 时 ， 知 道 可 供 使 用 的 各 种 以 太 网 介质 至 关 重 要 。 诚 然 ， 使 用 吉 比 特 以 太 网 连接 到 每 个 
桌面 ， 并 在 交换 机 之 间 使 用 10 Gbits 以 太 网 当然 很 好 , 但 你 必须 为 付出 这 样 的 成 本 提供 充分 理由 。 然 
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而 ， 如 果 结 合 使 用 当前 可 用 的 各 种 以 太 网 介质 ,我们 便 可 提供 一 个 性 价 比 相当 高 的 网 络 解决 方案 ， 且 
效果 非常 不 错 。 

EIA/TIA ( 表示 电子 行业 协会 和 较 近 组 建 的 电信 行业 联盟 ) 是 制定 以 太 网 物理 层 规范 的 标准 化 组 
织 ， 它 规定 以 太 网 使 用 非 屏蔽 双 绞 线 (UTP ) 和 一 种 标准 插座 ( RJ45 )。 

EIA/TIA 指定 的 每 种 以 太 网 电缆 都 有 固有 衰减 ， 这 指 的 是 信和 号 沿 电缆 传输 时 的 强度 减弱 ， 度 量 单 
位 为 分 贝 (dB )。 我 们 对 公司 和 家 庭 使 用 的 电缆 进行 了 分 类 ， 电 费 的 品质 越 高 ， 其 类 别 越 高 ， 衰 减 越 
低 。 例 如 ，5 类 电缆 优 于 3 类 电费， 因为 5 类 电线 每 英尺 的 绞 数 更 多 ， 串 扰 更 小 。 串 扰 是 电缆 中 相 邻 
线 对 的 信号 干扰 ， 越 小 越 好 。 

下 面 是 最 初 的 IEEE 802.3 标准 。 

口 10Base2 速度 为 10 Mbits， 采用 基带 技术 ， 最 大 传输 距离 185 米 ， 称 为 细 绕 网 ( thinnet )， 

每 个 网 段 最 多 可 包含 30 台 工作 站 。 采用 物理 总 线 拓扑 和 逻辑 总 线 拓 扑 , 并 使 用 BNC 接头 和 细 
同 轴 电缆 。 其 中 的 10 表示 10 Mbit/s，Base 表示 基带 技术 ( 这 是 一 种 在 网 络 中 通信 的 数字 信 今 
方法 ), 而 2 表示 传输 距离 大 约 200 米 。10Base2 以 太 网 网 卡 使 用 BNC( British Naval Connector、 
Bayonet Neill Concelman 或 Bayonet Nut Connector )、T 型 接头 和 端 接 器 连接 到 网 络 。 

口 10Base5 速度 为 10 Mbits， 采 用 基带 技术 ， 使 用 粗 同 轴 电 缆 时 最 大 传输 距离 500 米 ， 称 为 
粗 缆 网 (thicknet )。 采 用 物理 总 线 拓扑 和 逻辑 总 线 拓扑 ,并 使 用 AUI 接 头 。 在 使 用 转发 器 的 情 
况 下 ， 最 大 传输 距离 为 2500 米 ， 所 有 网 段 最 多 可 支持 1024 名 用 户 。 

口 10BaseT 速度 为 10 Mbits， 使 用 3 类 非 屏 项 双 绞 线 〈《UTP )， 最 大 传输 距离 为 100 米 。 不 同 
于 10Base2 和 10Base5 网 络 的 是 ， 其 中 每 台 设 备 都 必须 连接 到 集线器 或 交换 机 ， 且 每 个 网 段 或 
电缆 上 只 能 有 一 台 主 机 。 使 用 RJ45 接头 (8 针 模 块 式 接头 )， 采用 物理 星 型 拓扑 和 你 辑 总 线 
拓扑 。 

每 种 802.3 标准 都 定义 了 一 个 AUI， 让 数据 链 路 层 介质 访问 方法 能 够 以 每 次 1 比特 的 方式 将 数据 
传递 给 物理 层 。 这 让 MAC 地 址 可 保持 不 变 ， 而 物理 层 可 支持 现 有 技术 和 新 技术 。 最 重要 的 是 ， 最 初 
的 AUI 接 口 为 15 针 接头 ， 这 让 收发 器 能 够 提供 15 针 到 双 绞 线 转换 。 

然而 , 存在 一 个 问题 : AUI 接口 不 支持 100 Mbit/s 以 太 网 , 因为 其 频率 太 高 了 。 因此 , 100BaseT 
需要 一 种 新 接口 ， 而 802.3u 规范 指定 了 这 样 的 接口 MII ( Media Independent Interface， 介 质 无 关 接 
口 )。 这 种 接口 提供 的 吞吐 量 为 100 Mbits。MII 每 次 传输 半 字 节 ， 你 肯定 还 记得 ， 这 指 的 是 4 位 。 
吉 比 特 以 太 网 使 用 GMII ( Gigabit Media Independent Interface， 吉 比特 介质 无 关 接口 )， 每 次 传输 8 
位 。802.3u (快速 以 太 网 ) 与 802.3 以 太 网 兼容 ， 因 为 它们 的 物理 特征 相同 。 快 速 以 太 网 和 以 太 网 
使 用 相同 的 MTU( Maximum Transmission Unit ,最 大 传输 单元 ) 和 和 MAC 机 制 ,它们 都 保留 了 10BaseT 
以 太 网 使 用 的 帧 格式 。 基 本 上 ， 快速 以 太 网 基于 对 IEEE 802.3 规范 的 一 个 扩展 ， 因 此 其 速度 为 
10BaseT 的 10 倍 。 

下 面 从 快速 以 太 网 开始 介绍 扩展 的 IEEE 802.3 标准 。 

口 100Base-TX (IEEE 802.3u) 常 称 为 快速 以 太 网 ， 使 用 两 对 EIA/TIA 5、5E 或 6 类 UTP， 

每 个 网 段 一 名 用 户 ， 最 大 传输 距离 为 100 米 。 它 使 用 RI45 接头 ， 并 采用 物理 星 型 拓扑 和 你 辑 
总 线 拓扑 。 

口 100Base-FX (IEEE 802.3u) 使 用 62.5/125 微米 的 多 模 光 纤 ， 采 用 点 到 点 拓扑 ， 最 大 传输 

距 高 为 412 米 。 它 使 用 ST 和 SC 接头 ， 这 些 接头 都 属于 介质 接口 接头 。 
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口 1000Base-CX (IEEE 802.3z) 使 用 名 为 twinax 的 铜 质 双 绞 线 (一 种 平衡 同 轴线 对 )， 最 大 
传输 距离 只 有 25 米 ， 并 使 用 称 为 HSSDC ( High Speed Serial Data Connector， 高 速 串 行 数据 接 
头 ) 的 9 针 接 头 。 

口 1000Base-T (IEEE 802.3ab) 使 用 5 类 电缆 ， 其 中 包含 4 对 UTP， 最 大 传输 距离 100 米 ， 
最 高 传输 速率 1 Gbit/s。 

口 1000Base-SX (IEEE 802.3z〉 使 用 多 模 光 纤 (而 不 是 铜 质 双 绞 线 ) 和 短波 激光 的 1 吉 比 特 
以 太 网 实现 ， 其 中 多 模 光 纤 〈( MMF ) 的 芯 线 为 62.5 微米 或 50 微米 。 它 使 用 850 纳米 (nm ) 
的 激光 , 使 用 62.5 微米 多 模 光 纤 时 最 大 传输 距离 为 220 米 ， 而 使 用 50 微米 多 模 光 纤 时 最 大 传 
输 距 离 为 550 米 。 

口 1000Base-LX (IEEE 802.3z) 使 用 9 微米 的 单 模 光 纤 和 1300 纳米 的 激光 ， 最 大 传输 距离 
为 3 一 10 千 米 。 

口 1000BASE-ZX (Cisco 标准 ) 1000BaseZX ( 1000Base-ZX ) 是 思科 制定 的 一 种 吉 比 特 以 太 
网 通信 标准 ， 它 使 用 普通 单 模 光 纤 ， 最 大 传输 距离 为 43.5 英里 (70 千 米 )。 

口 10GBase-T 10GBase-T 是 IEEE 802.3an 委员 会 提议 的 一 种 标准 ， 旨 在 使 用 传统 的 UTP 电缆 
(5e、6 或 7 类 电缆 ) 提 供 10 Gbits 连接 。 10GBase-T 允许 我 们 在 以 太 网 LAN 中 使 用 传统 的 RJ45 
接头 ， 它 支持 在 100 米 的 范围 内 传输 信号。 


下 面 各 项 都 是 IEEE 802.3ae 标准 的 一 部 分 。 
注意 


口 10GBase-Short Range (SR) 一 种 10 吉 比特 以 太 网 实现 ， 使 用 850 纳米 的 短波 激光 和 多 
模 光 纤 ， 最 大 传输 距离 为 2~300 米 ， 具 体 取决 于 光纤 的 大 小 和 质量 。 

口 10GBase-Long Range (LR) 一 种 10 吉 比特 以 太 网 实现 ， 使 用 1310 纳米 的 长 波 激光 和 单 
模 光 纤 ， 最 大 传输 距离 为 2 米 ~ 10 千 米 ， 具 体 取决 于 光纤 的 大 小 和 质量 。 

口 10GBase-Extended Range (ER) 一 种 使 用 单 模 光纤 的 10 吉 比 特 以 太 网 实现 ， 使 用 1550 
纳米 的 超 长 波 激光 。 最 大 传输 距离 是 所 有 10 吉 比 特 以 太 网 技术 中 最 远 的 ， 为 2 米 一 40 千 米 ， 
具体 取决 于 光纤 的 大 小 和 质量 。 

口 10GBase-Short Wavelength (SW) 10Gbase-SW 是 在 IEEE 802.3ae 中 定义 的 ， 它 是 一 种 
10GBase-S 模式 ,使 用 多 模 光 纤 、850 纳米 的 激光 收发 器 ， 带 宽 为 10 Gbit/s。 它 支持 的 最 大 电 
缆 长 度 为 300 米 ， 人 们 设计 这 种 介质 旨 在 将 其 用 于 连接 SONET 设备 。 

口 10GBase-Long Wavelength LW) 10Gbase-LW 是 一 种 10GBase-L 模式 ， 使 用 标准 单 模 光 纤 
(SMF，G652 )， 最 大 链 路 长 度 可 达 10 千 米 。 人 们 设计 这 种 介质 旨 在 将 其 用 于 连接 SONET 设备 。 

口 10GBase-Extra Long Wavelength (EW) 10Gbase-EW 是 一 种 10GBase-E 模式 ,使 用 SMF 
( G652 ) 和 1550 纳米 的 激光 ,最 大 链 路 长 度 可 达 40 千 米 。 人 们 设计 这 种 介质 旨 在 将 其 用 于 连 
接 SONET 设备 。 


如 果 要 实现 不 受 电子 干扰 (EMI ) 影响 的 网 络 ， 光 纤 可 提供 更 安全 的 长 距离 电 
注意 缆 ， 其 速度 高 ， 且 不 受 EMI 影响 。 


- 立 - 
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表 2-4 总结 了 电费 类 型 。 
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表 2-4 ”常见 的 以 太 网 电缆 


以 太 网 名 称 电缆 类 型 最 高 速度 最 大 传输 距离 批 注 
1l0Base5 ” 同 轴 电 绕 10Mbits 每 个 网 段 500 米 也 叫 粗 织 网 ， 这 种 电缆 使 用 插入 式 分 
接头 (vampire tap ) 连接 到 设备 
10Base2 同 轴 电 缆 10 Mbit/s 每 个 网 段 185 米 也 叫 细 缆 网 ， 是 一 种 非常 流行 的 使 用 
同 轴 电 缆 的 以 太 网 实现 
10BaseT UTP 10 Mbit/s 每 个 网 段 100 米 最 流行 的 网 络 布线 方案 之 一 
100Base-TX UTP、 STP 100 Mbit/s 每 个 网 段 100 米 两 对 5 类 UTP 
10Base-FL 光纤 10 Mbits 500 一 2000 米 使 用 光纤 连接 到 桌面 的 以 太 网 
100Base-FX MMF 100 Mbit/s 2000 米 使 用 光纤 的 100 Mbits 以 太 网 
1000Base-T UTP 1000 Mbit/s 100 米 4 对 5e 类 或 更 高 质量 的 UTP 
. 1000Base-SX MMF 1000 Mbit/s 550 米 使 用 SC 光纤 接头 , 最 大 长 度 随 光纤 大 
小 而 异 
1000Base-CX 平衡 屏蔽 铜 质 1000 Mbit/s 25 米 使 用 特殊 的 接头 一 HSSDC 
电缆 
1000Base-LX MMF 和 SMF 1000 Mbit/s 使 用 多 模 光 纤 与 1000Base-SX 相 比 ， 使 用 的 激光 波 
时 为 500 米 ,使 用 ”长 更 长 ; 使 用 SC 和 LC 接头 
单 模 光纤 时 为 
2000 米 
10GBase-T UTP 10 Gbit/s 100 米 像 快速 以 太 网 链 路 一 样 使 用 UTP 连 接 
网 络 
10GBase-SR MMEF 10 Gbit/s 300 米 使 用 850 纳 米 的 激光 ， 最 大 长 度 随 光 
纤 大 小 和 质量 而 异 
10GBase-LR SMF 10 Gbit/s 10 千 米 使 用 1310 纳 米 的 激光 ， 最 大 长 度 随 光 
纤 大 小 和 质量 而 异 
10GBase-ER SMF 10 Gbit/s 40 千 米 使 用 1550 纳 米 的 激光 ， 最 大 长 度 随 光 
纤 大 小 和 质量 而 异 
10GBase-SW MMEF 10 Gbit/s 300 米 使 用 850 纳 米 激光 路 发 器 
10GBase-LW SMF 10 Gbit/s 10 千 米 通常 与 SONET 一 起 使 用 
10GBase-EW SMF 10 Gbit/s 40 千 米 使 用 1550 纳 米 的 激光 


掌握 本 章 前面 介 绍 的 基本 知识 后 ， 你 便 能 够 使 用 各 种 电缆 组 建 以 太 网 了 。 
2.2 .以 太 网 布线 


以 太 网 布线 是 一 个 重要 主题 , 对 于 打算 参考 思科 考试 的 你 尤其 如 此 。 你 必须 真正 了 解 下 面 3 种 电缆 : 
口 直通 电缆 ; 
口 交叉 电缆 ; 
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口 反 转 电缆 。 
接 下 来 的 几 节 将 分 别 介绍 这 些 电缆 。 


2.2.1 直通 电线 


直通 电缆 用 于 连接 如 下 设备 : 

口 主机 到 交换 机 或 集线器 ; 

口 路 由 器 到 交换 机 或 集线器 。 

在 直通 电缆 中 ， 我 们 使 用 4 根 导线 连接 以 太 网 设备 。 制 作 这 种 类 型 的 电缆 相对 简单 。 图 2-5 展示 
了 以 太 网 直通 电缆 中 使 用 的 4 根 导 线 。 


集线器 /交换 机 主机 


-一 一 


-2 


下 Re “个 


小 mi 一 
人 iD 一 


起 -一 
图 2-5 以太 网 直通 电缆 


注意 ， 我 们 只 使 用 了 1、2、3 和 6 号 针脚 。 只 需 将 两 个 1 号 针脚 、 两 个 2 号 针脚 、 两 个 3 号 针脚 
和 两 个 6 号 针脚 分 别 连 接 起 来 ， 电 缆 就 制作 好 了 ， 可 用 来 组 网 。 然 而 ， 需 要 记 住 的 是 ， 这 种 电缆 只 能 
用 于 以 太 网 ， 而 不 能 用 于 语音 网 络 、 其 他 LAN 和 WAN。 


2.2.2 ”交叉 电缆 


交叉 电缆 可 用 于 连接 如 下 设备 : 

口 交换 机 到 交换 机 ; 

口 集线器 到 集线器 ; 

口 主机 到 主机 ; 

口 集线器 到 交换 机 ; 

口 路 由 器 到 主机 ; 

口 路 由 器 到 路 由 器 (使 用 快速 以 太 网 端口 )。 

这 种 电缆 也 使 用 4 根 导线 ， 且 这 4 根 导线 与 直通 电缆 使 用 的 相同 。 我 们 只 需 将 不 同 的 针脚 连接 起 
来 即 可 ， 图 2-6 说 明了 以 太 网 交叉 电缆 是 如 何 使 用 这 4 根 导线 的 。 


集线器 /交换 机 集线器 /交换 机 
1 1 
2 2 
3 3 
6 6 


图 2-6 ”以 太 网 交叉 电缆 
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注意 ， 这 里 不 是 将 两 个 1 号 、 两 个 2 号 、 两 个 3 号 、 两 个 6 号 针脚 分 别 相连 ， 而 是 将 1 号 针脚 与 
3 号 针脚 相连 ,将 2 号 针脚 与 6 号 针脚 相连 。 


2.2.3 ” 反 转 电缆 


虽然 反 转 电缆 不 用 于 组 建 以 太 网 ， 但 可 用 于 将 主机 的 EIA-TIA 232 接口 连接 到 路 由 器 的 串 行 通信 
(COM ) 端口 。 

如 果 你 有 思科 路 由 器 或 交换 机 ， 可 使 用 反 转 电缆 将 运行 HyperTerminal ( 超级 终端 ) 的 PC 与 这 些 
思科 设备 相连 。 这 种 电缆 使 用 了 全 部 8 根 导线 来 连接 串 行 设备 ， 虽 然 并 非 这 8 根 导 线 都 被 用 于 发 送信 
息 。 图 2-7 显示 了 反 转 电缆 使 用 的 8 根 导 线 。 


主机 路 由 器 /交换 机 


vvIUA 上 则 避 一 
oo ~9C 了 mh 一 


图 2-7 以 太 网 反 转 电缆 


这 种 电缆 可 能 是 最 容易 制作 的 ， 你 只 需 将 直通 电缆 的 一 端 切断 ， 将 其 反 转 过 来 ， 并 连接 到 一 个 新 

使 用 正确 的 电缆 将 PC 连接 到 思科 路 由 器 或 交换 机 的 控制 台 端 口 后 ， 你 便 可 启动 HyperTerminal 
创建 一 条 连接 并 配置 思科 设备 。 配 置 过 程 如 下 。 

(1) 启动 HyperTerminal， 并 给 连接 指定 名 称 。 如 何 命名 无 关 紧 要 ， 但 我 总 是 将 其 命名 为 思科 。 然 
后 ， 单 击 OK 按钮。 


Enter a name and choose an icon for the connection: 
Nae ; 


(2) 选择 通信 端口 一 一 COMI1 或 COM2， 只 要 在 PC 上 打开 了 该 端口 。 
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(3) 现在 指定 端口 设置 。 默 认 设置 ( 2400 bit/s 和 流量 控制 为 “硬件 ”) 不 可 行 ， 你 必须 如 图 2-8 所 
示 指 定 端 口 设置 。 


图 2-8 反 转 电缆 连接 的 端口 设置 
注意 ,现在 比特 率 为 9600， 而 流量 控制 为 “无 "。 现 在 单 击 OK 按钮 并 按 回 车 键 ， 你 将 连接 到 思 
科 设 备 的 控制 台 端 口 。 
前 面 介绍 了 各 种 RJ45 非 屏 项 双 绞 线 (UTP )， 请 问 在 图 2-9 所 示 的 交换 机 之 间 ， 我 们 应 使 用 哪 种 
电缆 呢 ? 


交换 机 


2-9 ”RI45 UTP 电缆 问题 1 
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要 让 主机 A 能 够 ping 主机 B， 你 必须 使 用 交叉 电缆 将 两 台 交 换 机 连接 起 来 。 在 图 2-10 所 示 的 网 
络 中 ， 我们 又 应 使 用 哪 种 电缆 呢 ? 


图 2-10 RJ45 UTP 电缆 问题 2 


在 图 2-10 中 ， 我们 使 用 了 多 种 类 型 的 电缆 。 对 于 交换 机 之 间 的 连接 ， 我 们 显然 需要 使 用 如 图 2-6 
所 示 的 交叉 电缆 。 但 是 ， 我 们 有 一 条 控制 台 连 接 ， 它 使 用 的 是 反 转 电缆 。 另 外 ， 交 换 机 和 路 由 器 之 间 
的 连接 使 用 了 直通 电缆 ， 主 机 到 交换 机 的 连接 亦 如 此 。 这 里 没有 串 行 连接 ， 如 果 有 ， 它 将 使 用 V.35 
电缆 连接 到 WAN。 


2.3 ”数据 封装 


主机 通过 网 络 将 数据 传输 给 另 一 台 设 备 时 ， 数 据 将 经 历 封装 : OSI 模型 的 每 一 层 都 使 用 协议 信息 
将 数据 包装 起 来 。 每 层 都 只 与 其 在 接收 设备 上 的 对 等 层 通信 。 

为 通信 和 交换 信息 , 每 层 都 使 用 PDU ( Protocol Data Unit, 协议 数据 单元 )。PDU 包含 在 模型 每 一 层 
给 数据 添加 的 控制 信息 。 这 些 控制 信息 通常 被 添加 在 数据 字段 前 面 的 报头 中 , 但 也 可 能 被 添加 在 报 尾 中 。 

OSI 模型 每 一 层 都 对 数据 进行 封装 来 形成 PDU，PDU 的 名 称 随 报头 提供 的 信息 而 异 。 这 些 PDU 
信息 仅 在 接收 设备 的 对 等 层 被 读 取 ， 然 后 被 剥离 ， 然 后 数据 被 交 给 下 一 层 。 

图 2-11 显示 了 各 层 的 PDU 及 每 层 添 加 的 控制 信息 。 该 图 说 明了 如 何 对 上 层 用 户 数据 进行 转换 ， 
以 便 通 过 网 络 传输 。 然 后 ， 数 据 被 交 给 传输 层 ， 而 传输 层 通过 发 送 同步 分 组 来 建立 到 接收 设备 的 虚 电 
路 。 接 下 来 ， 数 据 流 被 分 割 成 小 块 ， 传 输 层 报头 被 创建 并 放 在 数据 字段 前 面 的 报头 中 ， 此 时 的 数据 块 
称 为 数据 段 (一 种 PDU )。 我 们 可 对 每 个 数据 段 进 行 排序 ， 以 便 在 接收 端 按 发 送 顺 序 重组 数据 流 。 

接 下 来 ， 每 个 数据 段 都 交 给 网 络 层 进 行 编 址 ， 并 在 互联 网 络 中 路 由 。 为 让 每 个 数据 段 前 往 正 确 的 
网 络 ， 这 里 使 用 逻辑 地 址 ( 如 IP 地址 )。 对 于 来 自传 输 层 的 数据 段 ， 网 络 层 协议 给 它 添加 一 个 控制 报 
头 ， 这 样 就 生成 了 分 组 或 数据 报 。 在 接收 主机 上 ， 传 输 层 和 网 络 层 协同 工作 以 重建 数据 流 ， 但 它们 不 
负责 将 PDU 放 到 本 地 网 段 上 一 一 这 是 将 信息 传输 给 路 由 器 或 主机 的 唯一 途径 。 

数据 链 路 层 负责 接收 来 自 网 络 层 的 分 组 ， 并 将 其 放 到 网 络 介 质 (电缆 或 无 线 ) 上 。 数 据 链 路 层 
将 每 个 分 组 封装 成 帧 ， 其 中 帧 头 包含 源 主 机 和 目标 主机 的 硬件 地 址 。 如 果 目 标 设备 在 远程 网 络 中 ， 
则 帧 将 被 发 送 给 路 由 器 ， 以 便 在 互联 网 络 中 路 由 。 到 达 目 标 网 络 后 ， 新 的 帧 被 用 来 将 分 组 传输 到 日 
标 主机 。 


45 


图 2-11 数据 封装 


要 将 帧 放 到 网 络 上 ， 首 先 必须 将 其 转换 为 数字 信号 。 帧 是 由 1 和 0 组 成 的 逻辑 编组 ， 物 理 层 负 责 
将 这 些 0 和 1 编码 成 数字 信号， 供 本 地 网 络 中 的 设备 读 取 。 接 收 设备 将 同步 数字 信号 ， 并 从 中 提取 1 
和 0 (解码 )。 接 下 来 ， 设 备 将 重组 帧 ， 运 行 CRC， 并 将 结果 与 帧 中 FCS 字段 的 值 进行 比较 。 如 果 它 
们 相同 ， 设 备 从 帧 中 提取 分 组 ， 并 将 其 他 部 分 丢弃 ， 这 个 过 程 称 为 折 封 。 分 组 被 交 给 网 络 层 ， 而 网 络 
层 将 检查 分 组 的 地 址 。 如 果 地 址 匹配 ， 数 据 段 被 从 分 组 中 提取 出 ， 而 其 他 部 分 将 被 丢弃 。 数 据 段 将 在 
传输 层 处理 ， 而 后 者 负责 重建 数据 流 ， 然 后 向 发 送 方 确认 ， 指 出 接收 方 收 到 了 所 有 信息 。 然 后 传输 层 
将 数据 流 交 给 上 层 应 用 程序 。 

在 发 送 端 ， 数 据 封装 过 程 大 致 如 下 。 

(1) 用 户 信息 被 转换 为 数据 ， 以 便 通过 网 络 进行 传输 。 

(2) 数据 被 转换 为 数据 段 ， 发 送 主 机 和 接收 主机 之 间 建 立 一 条 可 靠 的 连接 。 

(3) 数据 段 被 转换 为 分 组 或 数据 报 ， 人 逻辑 地 址 被 添加 在 报头 中 ， 以 便 能 够 在 互联 网 络 中 路 由 分 组 。 

(4) 分 组 或 数据 报 被 转换 为 帧 ， 以 便 在 本 地 网 络 中 传输 。 硬 件 (以 太 网 ) 地 址 被 用 于 唯一 标识 本 
地 网 段 中 的 主机 。 

(5) 帧 被 转换 为 比特 ， 并 使 用 数字 编码 方法 和 时 钟 同步 方案 。 

我 将 使 用 图 2-12 进一步 解释 这 个 过 程 。 

还 记得 吗 ， 事 实 上 由 上 层 将 数据 流 交 给 传输 层 。 作 为 技术 人 员 ， 我 们 并 不 关心 数据 流 来 自 何方 ， 
因为 这 是 程序 员 的 事 。 我 们 的 职责 是 ， 在 接收 设备 处 可 靠 地 重建 数据 流 ， 并 将 其 交 给 上 层 。 

详细 讨论 图 2-12 前 , 我 们 先 来 讨论 端口 号 ,以 确保 你 理解 它们 。 传输 层 使 用 端口 号 标识 虚 电路 和 
上 层 进 程 ， 如 图 2-13 所 示 。 

使 用 面向 连接 的 协议 ( 即 TCP ) 时 ， 传 输 层 将 数据 流转 换 为 数据 段 ， 并 创建 一 条 虚 电 路 以 建立 可 
靠 的 会 话 。 接 下 来 ， 它 对 每 个 数据 段 进 行 编 号 ， 并 使 用 确认 和 流量 控制 。 如 果 你 使 用 的 是 TCP， 虚 电 
路 将 由 源 端 口号 和 目标 端口 号 以 及 源 人 PP 地 址 和 目标 卫 地址 〈 称 为 套 接 字 ) 标识 。 别 忘 了 ， 主 机 只 能 
使 用 不 小 于 1024 的 端口 号 (0 一 1023 为 知名 端口 号 )。 目 标 端口 号 标识 了 上 层 进程 ( 应 用 程序 ) 在 接 
收 主机 可 靠 地 重建 数据 流 后 ， 数 据 流 将 被 交 给 该 进程 ( 应 用 程序 )。 
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数据 段 
帧 


比特 1011011100011110000 
图 2-12 PDU 和 各 层 添 加 的 地 址 


源 端 口 目标 端口 2 


标识 虚 电 路 标识 上 层 进程 或 应 用 程序 


图 2-13 ”传输 层 使 用 的 端口 号 


至 此 , 你 明白 了 端口 号 以 及 传输 层 如 何 使 用 它们 , 下面 返回 到 图 2-12。 给 数据 块 添加 传输 层 报头 
信息 后 , 便 形成 了 数据 段 ; 随后 ,数据 段 和 目标 卫 地 址 一 起 被 交 给 网 络 层 。( 目标 瑟 地 址 是 随 数据 流 


一 起 由 上 层 交 给 传输 层 的 ， 它 是 由 上 层 使 用 名 称 解 析 方法 ( 可 能 是 DNS ) 发 现 的 。) 


网 络 层 在 每 个 数据 段 的 前 面 添 加 报头 和 侵 辑 地 址 (他 地址 )。 给 数据 段 添加 报头 后 ， 形 成 的 PDU 
为 分 组 。 分 组 包含 一 个 协议 字段 ， 该 字段 指出 了 数据 段 来 自 何方 (UDP 或 TCP )， 这 样 当 分 组 到 达 接 


收 主机 后 ， 传 输 层 便 能 够 将 数据 段 交 给 正确 的 协议 。 


网 络 层 负责 获悉 目标 硬件 地 址 (这 种 地 址 指出 了 分 组 应 发 送 到 本 地 网 络 的 什么 地 方 ) 为 此 ， 它 使 


用 ARP (Address Resolution Protocol， 地 址 解析 协议 ) 


详 见 第 3 章 。 网 络 层 的 下 查看 目标 让 地 址 ， 
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并 将 其 与 自己 的 卫 地 址 和 子 网 掩 码 进行 比较 。 如 果 比 较 表明 分 组 是 前 往 本 地 主机 的 , 则 ARP 请 求 被 用 
于 请 求 该 主机 的 硬件 地 址 ; 如 果 分 组 是 前 往 远程 主机 的 ， 卫 将 获悉 默认 网 关 〈 路 由 器 ) 的 下 地 址 。 

接 下 来 , 网 络 层 将 分 组 向 下 传递 给 数据 链 路 层 , 一 同 传递 的 还 有 本 地 主机 或 默认 网 关 的 硬件 地 址 。 
数据 链 路 层 在 分 组 前 面 添加 一 个 报头 ， 这 样 数据 块 将 变 成 帧 (之 所 以 称 其 为 帧 ， 是 因为 同时 给 分 组 添 
加 了 报头 和 报 尾 ， 使 其 类 似 于 书 挡 )， 如 图 2-12 所 示 。 帧 包含 一 个 以 太 网 类 型 ( Ether-Type ) 字段 , 它 
指出 了 分 组 来 自 哪 种 网 络 层 协议 。 现 在 , 将 对 帧 运行 CRC ( Cyclic Redundancy Check, 循环 元 余 校 验 )， 
并 将 结果 放 在 帧 尾 的 FCS (Frame Check Sequence， 帧 校 验 序列 ) 字段 中 。 

至 此 ,可 以 用 每 次 1 比特 的 方式 将 帧 向 下 传递 给 物理 层 了 ,而 物理 层 将 使 用 比特 定时 规则 ( bit timing 
rule ) 将 数据 编码 成 数字 信号 。 网 段 中 的 每 台 设备 都 将 同步 时 钟 ， 从 数字 信号 中 提取 1 和 0, 并 重建 帧 。 
重建 帧 后 ,设备 将 运行 CRC， 以 确保 帧 是 正确 的 。 如 果 一 切 顺利 ， 主 机 将 检查 目标 MAC 地 址 和 目标 
IP 地 址 ， 以 检查 帧 是 否 是 发 送 给 它 的 。 

如 果 这 一 切 让 你 眼花 练 乱 、 头 措 脑 胀 ， 请 不 要 担心 ,第 8 章 将 详细 介绍 在 互联 网 络 中 数据 是 如 何 
被 封装 和 路 由 的 。 


2.4 包含 3 层 的 Cisco 层次 模型 


大 多 数 人 在 童年 就 接触 过 层次 结构 ， 有 哥哥 或 姐姐 的 人 都 知道 位 于 层次 结构 底层 的 滋味 。 无 论 你 
是 在 什么 地 方 首次 遇 到 层次 结构 ， 当 今 的 大 多 数 人 都 在 生活 中 感受 过 它 。 正 是 层次 结构 帮助 我 们 明白 
事物 的 归属 和 相互 关系 以 及 各 部 门 的 职责 ， 它 让 那些 原本 复杂 的 模型 变 得 有 序 且 易 于 理解 。 例 如 ， 如 
果 你 想 加 薪 ， 层 次 结构 将 告诉 你 应 询问 老板 而 不 是 下 属 ， 这 个 人 将 批准 或 拒绝 你 的 要 求 。 因 此 ， 理 解 
层次 结构 有 助 于 你 明白 到 哪里 去 获取 想 要 的 东西 。 

在 网 络 设计 中 ， 层 次 结构 的 优点 与 生活 中 相同 。 在 使 用 得 当 的 情况 下 ， 层 次 结构 将 使 网 络 的 行为 
更 容易 被 预测 。 它 帮助 你 指定 各 部 分 的 职责 。 同 样 ， 你 可 在 层次 型 网 络 的 某 些 层 使 用 诸如 访问 列表 等 
工具 ， 并 避免 在 其 他 层 使 用 它们 。 

大 型 网 络 可 能 非常 复杂 ， 可 能 使 用 了 多 种 协议 , 包含 复杂 的 配置 ,采用 了 各 种 各 样 的 技术 。 层 次 
结构 可 帮助 你 将 大 量 复杂 的 细节 归纳 成 易于 理解 的 模型 ， 这 样 ， 进 行 具体 的 配置 时 ,模型 将 指出 应 用 
这 些 配置 的 正确 方式 。 

设计 、 实 现 和 维护 可 扩展 、 可 靠 、 性 价 比 高 的 层次 型 互联 网 络 时 ，Cisco 层次 模型 可 提供 帮助 。 
Cisco 层次 模型 包含 3 层 ， 如 图 2-14 所 示 ， SU 

这 3 层 及 其 典型 功能 如 下 。 

口 核心 层 : 主干 。 

口 集散 层 : 路 由 选择 。 

口 接 人 层 : 交换 。 

每 层 都 有 特定 的 职责 。 然 而 ， 这 3 层 是 逻辑 性 的 ， 而 不 一 定 是 物理 设备 。 想 想 另 一 个 逻辑 层次 结 
， 而 不 是 协议 。 有 时 一 种 协议 对 应 于 OSI 模型 的 多 层 ， 而 
有 时 多 种 协议 对 应 于 一 层 。 通 常 ， 实 现 层次 型 网 络 时 ， 可 能 一 层 有 很 多 设备 ， 也 可 能 一 台 设 备 同 时 执 
行 两 层 的 功能 。 这 些 层 的 定义 是 逻辑 性 的 ， 而 不 是 物理 性 的 。 

下 面 来 详细 介绍 其 中 的 每 一 层 。 
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核心 层 


图 2-14 “Cisco 层次 模型 


2.4.1 核心 层 


顾名思义 ， 核 心 层 是 网 络 的 核心 。 核 心 层 位 于 层次 结构 顶端 ， 负 责 快速 而 可 靠 地 传输 大 量 的 数据 
流 。 网 络 核 心 层 的 唯一 目标 是 尽 可 能 快 地 交换 数据 流 。 在 核心 层 传输 的 数据 流 是 大 多 数 用 户 共享 的 ; 
然而 ， 用 户 数据 是 在 集散 层 处 理 的， 该 层 在 必要 时 将 请 求 转发 到 核心 层 。 
如 果 核 心 层 出 现 故 障 ， 所 有 用 户 都 将 受 影响 ， 因 此 核心 层 容错 是 个 大 问题 。 穿 越 核心 层 的 数据 流 
可 能 很 大 ， 因 此 速度 和 延迟 是 重要 的 考虑 因素 。 知 道 核心 层 的 功能 后 ， 我 们 就 可 以 考虑 一 些 具体 的 设 
计 需 求 了 。 先 来 看 看 不 应 该 做 的 事情 。 
口 不 要 做 任何 降低 速度 的 事情 ， 这 包括 使 用 访问 列表 、 在 虚拟 局 域 网 (VLAN ) 之 间 路 由 以 及 实 
现 分 组 过 滤 。 
口 不 要 在 核心 层 支 持 工作 组 接 人 。 
口 避免 核心 层 随 着 网 络 的 增 大 而 增 大 ( 即 添加 路 由 器 )。 如 果 核 心 层 的 性 能 是 个 问题 ， 应 进行 升 
级 ， 而 不 是 增 大 。 
下 面 是 设计 核心 层 时 应 该 做 的 一 些 事情 。 
口 设计 核心 层 时 ， 应 确保 其 高 可 靠 性 。 考 虑 使 用 对 速度 、 宛 余 有 帮助 的 数据 链 路 技术 ， 如 包含 
元 余 链 路 的 吉 比 特 以 太 网 ， 甚 至 是 10 吉 比 特 以 太 网 。 
口 设计 时 要 考虑 速度 ， 核 心 层 的 延迟 必须 非常 短 。 
口 选择 会 聚 时 间 短 的 路 由 选择 协议 。 如 果 路 由 选择 表 不 行 ， 快 速 且 元 余 的 数据 链 路 也 帮 不 上 忙 。 


2.4.2 ”集散 层 


集散 层 有 时 也 称 为 工作 组 层 ， 它 是 接 人 层 和 核心 层 之 间 的 通信 点 。 集 散 层 的 主要 功能 是 提供 路 由 
选择 、 过 滤 和 WAN 接 人 ， 以 及 在 必要 时 确定 如 何 让 分 组 进入 核心 层 。 集 散 层 必须 确定 处 理 网 络 服务 
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请 求 的 最 快 方式 ， 例 如 如 何 将 文件 请 求 转发 给 服务 器 。 确 定 最 佳 路 径 后 ,集散 层 将 在 必要 时 将 请 求 转 
发 给 核心 层 ， 然 后 核心 层 将 请 求 快速 转发 给 正确 的 服务 。 

集散 层 是 实现 网 络 策略 的 地 方 ， 在 这 里 ， 你 可 相当 灵活 地 指定 网 络 的 运行 方式 。 下 面 几 项 操作 通 
常 应 该 在 集散 层 执行 。 

口 路 由 选择 。 

口 实现 工具 (如 访问 列表 )、 分 组 过 滤 和 排队 。 

口 实现 安全 性 和 网 络 策略 ， 包 括 地 址 转换 和 防火 墙 。 

口 在 路 由 选择 协议 之 间 重 分 发 ， 包 括 静 态 路 由 。 

口 在 VLAN 之 间 路 由 以 及 其 他 支持 工作 组 的 功能 。 

口 定义 广播 域 和 组 播 域 。 

在 集散 层 应 避免 做 的 事情 仅 限于 其 他 层 的 专属 功能 。 


2.4.3 ” 接 入 层 


接 入 层 控制 用 户 和 工作 组 对 互联 网 络 资源 的 访问 ， 有 时 也 称 为 桌面 层 。 大 多 数 用 户 需要 的 网 络 资 
源 位 于 本 地 ， 而 所 有 远程 服务 数据 流 都 由 集散 层 处 理 。 下 面 是 接 人 层 的 一 些 功能 。 

口 延续 集散 层 的 访问 控制 和 策略 。 

口 建立 独立 的 冲突 域 ( 网 络 分 段 )。 

口 提供 到 集散 层 的 工作 组 连接 。 

接 入 层 经 常 采用 吉 比 特 以 太 网 和 快速 以 太 网 交换 等 技术 。 

正如 前 面 指出 的 ，3 个 独立 的 层 并 不 意味 着 3 台独 立 的 设备 ,设备 可 能 更 多 ， 也 可 能 更 少 。 别 忘 
了 ， 这 是 一 种 分 层 方法 。 


2.5 小结 


在 本 章 中 ， 你 学 习 了 以 太 网 基本 知识 、 网 络 中 的 主机 如 何 通信 以 及 半 双 工 以 太 网 中 CSMA/CD 的 

我 还 介绍 了 半 双 工 和 全 双 工 模式 之 间 的 差别 ， 讨 论 了 冲突 检测 机 制 CSMA/CD。 

另外 ， 本 章 还 介绍 了 当今 网 络 中 常用 的 以 太 网 电缆 。 顺 便 说 一 句 ， 你 最 好 仔细 研究 相应 的 内 容 。 

本 章 还 简要 地 介绍 了 封装 ， 这 很 重要 ， 不 容 忽 视 。 封 装 指 的 是 沿 OSI 栈 向 下 对 数据 进行 编码 的 
过 程 。 

最 后 ， 本 章 介绍 了 包含 3 层 的 Cisco 层次 模型 。 我 详细 介绍 了 这 3 层 以 及 如 何 使 用 它们 来 帮助 设 
计 和 实现 Cisco 互联 网 络 。 下 一 章 将 介绍 IP 地 址 。 


2.6 考试 要 点 


描述 载波 侦 听 多 路 访问 /冲突 检测 《CSMA/CD) 的 工作 原理 。CSMA/CD 是 一 种 帮助 设备 均衡 
共享 带宽 的 协议 ， 可 避免 两 台 设 备 同 时 在 网 络 介质 上 传输 数据 。 虽 然 它 不 能 消除 冲突 ， 但 有 助 于 极 大 
地 减少 冲突 ， 进 而 减少 重 传 ， 从 而 提高 所 有 设备 的 数据 传输 效率 。 
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区 分 半 双 工 和 全 双 工 通信 ,并 指出 这 两 种 方法 的 需求 。 与 半 双 工 以 太 网 使 用 一 对 导线 不 同 , 全 
双 工 以 太 网 使 用 两 对 导线 。 全 双 工 使 用 不 同 的 导线 来 消除 冲突 ， 从 而 允许 同时 发 送 和 接收 数据 ， 而 半 
双 工 可 发 送 或 接收 数据 ,但 不 能 同时 发 送 和 接收 数据 ， 且 仍 会 出 现 冲 突 。 要 使 用 全 双 工 ， 电 缆 两 端的 
设备 都 必须 支持 全 双 工 ， 并 配置 成 以 全 双 工 模式 运行 。 

描述 MAC 地 址 的 组 成 部 分 以 及 各 部 分 包含 的 信息 。MAC ( 硬件 ) 地 址 是 一 种 使 用 十 六 进 制 表 
示 的 地 址 , 长 48 位 (6B)。 其 中 前 24 位 (3B ) 称 为 OUI ( Organizationally Unique Identifier， 组 织 唯 
一 标识 符 )， 由 IEEE 分 配给 NIC 制造 商 ; 余下 的 部 分 唯一 地 标识 了 NIC。 

识别 十 进 制 数 对 应 的 二 进 制 值 和 十 六 进 制 值 。 用 这 3 种 格式 之 一 表示 的 任何 数字 都 可 转换 为 其 
他 两 种 格式 , 能 够 执行 这 种 转换 对 理解 IP 地 址 和 子 网 划分 至 关 重要 。 请 务必 完成 本 章 后 面 将 二 进 制 转 
换 为 十 进 制 和 十 六 进 制 的 书面 实验 。 

识别 以 太 网 帧 中 与 数据 链 路 层 相关 的 字段 。 在 以 太 网 帧 中 , 与 数据 链 路 层 相 关 的 字段 包括 前 导 
码 、 帧 起 始 位 置 分 隔 符 、 目 标 MAC 地 址 、 源 MAC 地 址 、 长 度 或 类 型 以 及 帧 校 验 序 列 。 

识别 与 以 太 网 布线 相关 的 IEEE 标准 。 这 些 标准 描述 了 各 种 电缆 类 型 的 功能 和 物理 特征 ， 包 括 
(但 不 限于 ) 10Base2、10Base5 和 10BaseT。 

区 分 以 太 网 电缆 类 型 及 其 用 途 。 以 太 网 电缆 分 3 种 : 直通 电缆 ， 用 于 将 PC 或 路 由 器 的 以 太 网 
接口 连接 到 集线器 或 交换 机 ; 交叉 电缆 ， 用 于 将 集线器 连接 到 集线器 、 集 线 器 连接 到 交换 机 、 交 换 
机 连接 到 交换 机 以 及 PC 连接 到 PC; 反 转 电缆 ， 用 于 在 PC 和 路 由 器 或 交换 机 之 间 建 立 控 制 台 连 接 。 

描述 数据 封装 过 程 及 其 在 分 组 创建 中 的 作用 。 数据 封装 指 的 是 在 OSI 模型 各 层 给 数据 添加 信 
息 的 过 程 ， 也 称 为 分 组 创建 。 每 层 都 只 与 其 在 接收 设备 上 的 对 等 层 通信 。 

了 解 如 何在 PC 和 路 由 器 之 间 建 立 控制 台 连 接 并 启动 HyperTerminal。 使 用 反 转 电缆 将 主机 
的 COM 端口 连接 到 路 由 器 的 控制 台 端 口 。 启 动 HyperTerminal, 并 将 比特 率 设置 为 9600, 流量 控制 设 
置 为 “无 ”。 

指出 Cisco 三 层 模 型 中 的 各 层 , 并 描述 每 层 最 适合 完成 的 功能 。Cisco 层次 模型 包含 如 下 3 层 : 
核心 层 , 负责 快速 而 可 靠 地 传输 大 量 的 数据 流 ; 集散 层 , 提供 路 由 选择 、 过 滤 和 WAN 接 人 ; 接 人 层 ， 
将 工作 组 连接 到 集散 层 。 


2.7 书面 实验 


在 本 节 中 ， 你 将 完成 如 下 实验 ， 确 保 明 白 了 其 中 涉及 的 信息 和 概念 。 
口 实验 2.1: 二 进 制 /十 进 制 /十 六 进 制 转换 。 

口 实验 2.2: CSMA/CD 的 工作 原理 。 

口 实验 2.3: 布线 。 

口 实验 2.4: 封装 。 

(书面 实验 的 答案 见 本 章 复 习题 答案 的 后 面 。) 


2.7.1 书面 实验 2.1: 二 进 制 /十 进 制 /十 六 进 制 转换 


(1) 将 用 十 进 制 表示 的 卫 地 址 转换 为 二 进 制 格式 。 
完成 下 表 ， 将 192.168.10.15 转换 为 二 进 制 格式 。 
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128 64 32 16 8 4 2 1 二 进 制 


完成 下 表 ，, 将 172.16.20.55 转换 为 二 进 制 格式 。 


128 64 32 16 8 4 2 1 二 进 制 


完成 下 表 ， 将 10.11.12.99 转换 为 二 进 制 格式 。 


128 64 32 16 8 4 2 1 二 进 制 


(2) 将 用 二 进 制 表示 的 瑟 地 址 转换 为 十 进 制 格式 。 
完成 下 表 ， 将 卫 地 址 11001100.00110011.10101010.01010101 转换 为 十 进 制 格式 。 


128 64 32 16 8 4 2 1 十 进 制 


完成 下 表 , 将 IP 地 址 11000110.11010011.00111001.11010001 转换 为 十 进 制 格式 。 


128 64 32 16 8 4 2 1 十 进 制 


完成 下 表 , 将 下 地 址 10000100.11010010.10111000.10100110 转换 为 十 进 制 格式 。 


128 64 32 16 8 4 2 1 十 进 制 
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(3) 将 二 进 制 值 转换 为 十 六 进 制 。 
完成 下 表 ， 用 十 六 进 制 表示 11011000.00011011.00111101.01110110。 


128 64 32 16 8 4 2 1 


完成 下 表 ， 用 十 六 进 制 表示 11001010.11110101.10000011.11101011 。 


128 64 32 16 8 4 2 1 


完成 下 表 ， 用 十 六 进 制 表 示 10000100.11010010.01000011.10110011。 
128 64 32 16 8 4 2 1 


2.7.2 书面 实验 2.2: CSMA/CD 的 工作 原理 


十 六 进 制 


十 六 进 制 


十 六 进 制 


CSMA/CD ( Carrier Sense Multiple Access with Collision Detection， 载 波 侦 听 多 路 访问 /冲突 检测 ) 


帮助 最 大 限度 地 减少 冲突 ， 从 而 提高 数据 传输 效率 。 请 按 正确 的 顺序 排列 下 述 步骤 。 
口 定时 器 到 期 后 ， 所 有 主机 的 传输 优先 级 都 相同 。 
口 以 太 网 网 段 中 的 每 台 设 备 暂停 传输 一 段 时 间 ， 直 到 定时 器 到 期 。 
口 冲突 导致 执行 随机 后 退 算法 。 
口 拥堵 信号 告诉 所 有 的 设备 发 生 了 冲突 。 


2.7.3 书面 实验 2.3: 布线 


在 下 述 各 种 情形 下 ， 请 判断 应 使 用 直通 电缆 、 交 叉 电 缆 还 是 反 转 电缆 。 
(1) 主机 到 主机 。 

(2) 主机 到 交换 机 或 集线器 。 

(3) 路 由 器 到 主机 。 

(4) 交换 机 到 交换 机 。 

(5) 路 由 器 到 交换 机 或 集线器 。 

(6) 集线器 到 集线器 。 

(7) 集线器 到 交换 机 。 

(8) 主机 到 路 由 器 的 控制 台 串 行 通信 ( COM ) 端口 。 
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2.7.4 书面 实验 2.4: 封装 


按 正 确 的 顺序 排列 下 述 封装 过 程 。 

口 分 组 或 数据 报 被 转换 为 帧 ， 以 便 在 本 地 网 络 中 传输 。 使 用 硬件 〈 以 太 网 ) 地 址 来 唯一 地 标识 
本 地 网 络 中 的 主机 。 

口 数据 段 被 转换 为 分 组 或 数据 报 ， 并 在 报头 中 加 入 逻辑 地 址 ， 使 得 能 够 在 互联 网 络 中 路 由 分 组 。 

口 用 户 信息 被 转换 为 数据 ， 以 便 通 过 网 络 传输 。 

口 帧 被 转换 为 比特 ， 并 使 用 数字 编码 和 时 钟 同步 方案 。 

口 数据 被 转换 为 数据 段 ， 并 在 发 送 主机 和 接收 主机 之 间 建 立 一 条 可 靠 的 连接 。 


(1) IEEE 以 太 网 帧 包含 哪些 字段 〈 选 择 两 项 ) ? 
A. 源 MAC 地 址 和 目标 MAC 地 址 
B. 源 网 络 地 址 和 目标 网 络 地 址 
C. 源 MAC 地址 和 目标 MAC 地 址 以 及 源 网 络 地 址 和 目标 网 络 地 址 
D. FCS 字段 
(2) 下 面 哪 两 项 是 半 双 工 以 太 网 相对 于 全 双 工 以 太 网 的 特征 ? 
A. 半 双 工 以 太 网 运行 在 一 个 共享 的 冲突 域 中 
B. 半 双 工 以 太 网 运行 在 一 个 专用 的 冲突 域 中 
C. 半 双 工 以 太 网 的 有 效 吞 吐 量 更 高 
D. 半 双 工 以 太 网 的 有 效 吞 吐 量 更 低 
E. 半 双 工 以 太 网 运行 在 一 个 专用 的 广播 域 中 
(3) 你 想 实现 不 易 受 EMI 影 响 的 网 络 ， 应 使 用 哪 种 电缆 ? 
A. 粗 同 轴 电 缆 B. 细 同 轴 电 线 C.5 类 UTP 电缆 D. 光纤 
(4) 下 面 哪 3 种 连接 可 使 用 全 双 工 模式 ? 
A. 集线器 到 集线器 B. 交换 机 到 交换 机 C. 主机 到 主机 
D. 交换 机 到 集线器 E. 交换 机 到 主机 
(5) 在 交换 机 之 间 使 用 哪 种 RJ45 UTP 电缆 ? 
A. 直通 电缆 B. 交叉 电缆 C. 带 CSU/DSU 的 交叉 电缆 
D. 在 这 两 台 交 换 机 中 添加 一 台 路 由 器 ， 并 使 用 交叉 电缆 分 别 连接 到 路 由 器 
(6) 冲突 发 生 后 ， 以 太 网 LAN 中 的 主机 如 何 知道 何 时 开始 传输 ( 选择 两 项 ) ? 
A. 在 CSMA/CD 冲突 域 中 ， 多 台 工 作 站 可 同时 传输 数据 
B. 在 CSMA/CD 冲突 域 中 ， 工 作 站 必须 等 到 介质 未 被 占用 时 才 传 输 
C. 可 通过 添加 集线器 来 改善 CSMA/CD 网 络 
D. 冲突 发 生 后 ， 检 测 到 冲突 的 工作 站 有 优先 权重 传 丢失 的 数据 
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E. 冲突 发 生 后 ， 所 有 工作 站 都 运行 随机 后 退 算法 。 后 退 延 迟 阶段 过 后 ， 所 有 工作 站 的 数据 传输 优 
先 级 都 相同 : 
F. 冲突 发 生 后 ， 涉 及 的 所 有 工作 站 都 运行 相同 的 后 退 算法 ， 然 后 在 传输 数据 前 彼此 同步 
(7) 将 PC 的 COM 端口 连接 到 路 由 器 或 交换 机 的 控制 台 端口 时 ， 应 使 用 哪 种 类 型 的 RJ45 UTP 电缆 ? 


A. 直通 电缆 B. 交叉 电缆 

C. 带 CSU/DSU 的 交叉 电缆 D. 反 转 电缆 
(8) 二 进 制 值 10110111 对 应 的 十 进 制 值 和 十 六 进 制 值 分 别 是 多 少 ? 

A. 69/0x2102 B. 183/B7 C. 173/A6 D. 83/0xC5 
(9) 以 太 网 使 用 下 面 哪 种 竞 用 机 制 ? 

A. 令 牌 传递 B. CSMA/CD C. CSMA/CA D. 主机 轮 询 
(10) 在 CSMA/CD 中 ， 后 退 算法 计算 得 到 的 延迟 过 后 ， 哪 些 主机 有 优先 权 ? 

A. 所 有 主机 的 优先 级 都 相同 B. 导致 冲突 的 两 台 主 机 的 优先 级 相同 


C. 发 生 冲 突 后 发 送 拥堵 信号 的 主机 有 优先 权 ”-D. MAC 地 址 最 大 的 主机 有 优先 权 
(11) 下 面 哪 种 说 法 是 正确 的 ? 

A. 全 双 工 以 太 网 使 用 一 对 导线 B. 全 双 工 以 太 网 使 用 两 对 导线 

C. 半 双 工 以 太 网 使 用 两 对 导线 D. 全 双 工 以 太 网 使 用 三 对 导线 
(12) 下 面 哪 种 有 关 全 双 工 的 说 法 是 错误 的 ? 

A. 在 全 双 工 模式 下 不 会 发 生 冲 突 

B. 每 个 全 双 工 节点 都 必须 有 一 个 专用 的 交换 机 端口 

C. 在 全 双 工 模式 下 冲突 很 少 

D. 主机 的 网 卡 和 交换 机 端口 都 必须 能 够 在 全 双 工 模式 下 运行 
(13) 下 面 哪 种 有 关 MAC 地 址 的 说 法 是 正确 的 ? 

A. MAC 地 址 也 称 逻 辑 地址 ， 长 48 位 (6 B) ， 用 十 六 进 制 格式 表示 

B. MAC 地 址 也 称 硬件 地 址 ,长 64 位 (8 B ) ， 用 十 六 进 制 格式 表示 

C. MAC 地 址 也 称 硬件 地 址 , 长 48 位 (6B ) ， 用 二 进 制 格式 表示 

D. MAC 地 址 也 称 硬件 地 址 ， 长 48 位 (6 B) ， 用 十 六 进 制 格式 表示 
(14) MAC 地 址 的 哪 部 分 称 为 组 织 唯一 标识 符 (OUI) ? 


A. 前 24 位 (3B) B. 前 12 位 (3B) 

C. 前 24 位 (6B) D. 前 32 位 (3B) 
(15) OSI 模型 的 哪 一 层 负 责 将 比特 合并 成 字 节 ， 并 将 字 节 合并 成 帧 ? 

A. 表示 层 B. 数据 链 路 层 C. 应 用 层 D. 传输 层 
(16) 下 面 哪 个 术语 表示 不 希望 发 生 的 相 邻 线 对 之 间 的 信号 于 扰 ? 

A. EMI B. RFI C. 串扰 D. 衰减 
(17) 下 面 哪 项 是 IEEE 802.3u 标准 的 一 部 分 ? : 

A. 100Base2 B. 10Base5 C. 100Base-TX D. 1000Base-T 
(18) 10GBase-Long Wavelength 称 为 哪 种 IEEE 标准 ? 

A. 802.3F B. 802.3z C. 802.3ab D. 802.3ae 
(19) 1000Base-T 是 下 面 哪 种 IEEE 标准 ? 

A. 802.3F B. 802.3z C. 802.3ab D. 802.3ae 


(20) 建立 HyperTerminal 连接 时 ， 必 须 将 比特 率 设置 为 什么 值 ? | 
A.2400bits . B. 1200 bit/s C. 9600 bits D. 6400 bits 
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2.9 复习 题 答案 


(1) A、D。 以 太 网 帧 包含 如 下 字段 : 源 MAC 地 址 、 目 标 MAC 地 址 、 标 识 网 络 层 协议 的 以 太 类 型 
( Ether-Type ) 、 数 据 以 及 存储 CRC 结果 的 FCS。 

(2) A、D。 半 双 工 以 太 网 运行 在 一 个 共享 介质 ( 冲突 域 ) 中 ， 其 有 效 吞吐 量 比 全 双 工 以 太 网 低 。 

(3) D。 光 纤 更 安全 、 传 输 距 离 长 、 速 度 高 且 不 易 受 EMI 的 影响 。 

(4) B、C、E。 集 线 器 不 能 在 全 双 工 模式 下 运行 。 在 两 台 支 持 全 双 工 的 设备 之 间 ， 必 须 使 用 点 到 点 连接 
来 运行 全 双 工 。 在 交换 机 和 主机 之 间 可 运行 全 双 工 ， 但 集线器 不 能 以 全 双 工 模式 运行 。 

(5) B。 要 连接 两 台 交 换 机 ， 可 使 用 RJ45 UTP 交叉 电缆 。 

(6) B、E。 以 太 网 网 段 中 正在 传输 的 工作 站 侦 听 到 冲突 后 , 它 将 发 送 一 个 扩展 拥堵 信号 ， 以 确保 所 有 工 
作 站 都 知道 发 生 了 冲突 。 收 到 拥堵 信号 后 ， 每 个 发 送 方 都 等 待 预先 确定 的 时 间 和 一 段 随机 时 间 。 这 两 个 定 
时 器 都 到 期 后 ， 工 作 站 便 可 传输 了 ， 但 在 传输 前 必须 确保 介质 是 空闲 的 ， 且 所 有 工作 站 的 优先 级 都 相同 。 

(7) D。 要 连接 到 路 由 器 或 交换 机 的 控制 台 端口 ， 可 使 用 RJ45 UTP 反 转 电缆 。 

(8) B。 你 必须 有 能 力 将 二 进 制 数 转换 为 十 进 制 和 十 六 进 制 。 要 转换 为 十 进 制 ， 只 需 将 所 有 取 值 为 1 的 
位 的 位 值 相 加 。 对 于 二 进 制 数 10110111， 结 果 为 128 +32+ 16+4+2+1= 183。 要 转换 为 十 六 进 制 ， 需 要 
将 这 8 位 划分 成 半 字 节 (4 位 ) 1011 和 0111。 这 些 半 字 节 对 应 的 十 进 制 值 分 别 是 11 和 7, 而 11 对 应 的 十 六 
进 制 数 为 B， 因 此 结果 为 0xB7。 

(9) B。 以 太 网 使 用 载波 侦 听 多 路 访问 /冲突 检测 (CSMA/CD ) ， 这 是 一 种 帮助 设备 平等 地 共享 带宽 的 
协议 ， 可 避免 两 台 设备 同时 在 网 络 介质 上 传输 数据 。 

(10) A。 后 退 算法 计算 得 到 的 时 间 过 后 ， 所 有 主机 的 数据 传输 优先 级 都 相同 。 

(11) B。 全 双 工 以 太 网 使 用 两 对 导线 。 

(12) C。 全 双 工 模式 下 不 会 发 生 冲 突 。 

(13) D。MAC 地 址 也 叫 硬 件 地 址 ,长 48 位 (6B ) ， 用 十 六 进 制 格式 表示 。 

(14) A。MAC 地 址 的 前 24 位 (3 B ) 称 为 组 织 唯一 标识 符 (OUI ) 。 

(15) B。OSI 模 型 的 数据 链 路 层 负 责 将 比特 合并 成 字 节 ， 并 将 字 节 合并 成 帧 。 

(16) C。 不 希望 发 生 的 相 邻 线 对 之 间 的 信号 干扰 称 为 串扰 。 

(17) C。IEEE 802.3u 是 速度 为 100 Mbits 的 快速 以 太 网 , 包括 100Base-TX、100BaseT4 和 100Base-FX。 

(18) D。 标准 IEEE 802.3ae 定义 了 10Gbase-SR、10Gbase-LR、10Gbase-ER、10Gbase-SW、10Gbase-LW 
和 10Gbase-E。 

(19) C。IEEE 802.3ab 标准 定义 了 使 用 双 绞 线 的 1 Gbivs 以 太 网 。 

(20) C。 建 立 HyperTerminal 连接 时 ， 必 须 将 比特 率 设 置 为 9600 bit/s。 


2.10 书面 实验 2.1 答案 


(1 将 用 十 进 制 表示 的 下 地 址 转换 为 二 进 制 格式 。 
完成 下 表 ， 将 192.168.10.15 转换 为 二 进 制 格式 。 


十 进 制 128 64 32 16 8 4 2 1 二 进 制 
192 1 1 0 0 0 0 0 0 11000000 
168 1 0 1 0 1 0 0 ,0 10101000 
10 0 0 0 0 1 0 1 0 00001010 
15 0 0 0 0 1 1 1 1 00001111 
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完成 下 表 , 将 172.16.20.55 转换 为 二 进 制 格式 。 


十 进 制 128 64 32 16 8 4 2 1 二 进 制 
172 1 0 1 0 1 1 0 0 10101100 
16 0 0 0 1 0 0 0 0 00010000 
20 0 0 0 1 0 1 0 0 00010100 
55 0 0 1 1 0 1 1 1 00110111 
完成 下 表 ， 将 10.11.12.99 转换 为 二 进 制 格式 。 

十 进 制 128 64 32 16 8 4 2 1 二 进 制 
10 0 0 0 0 1 0 1 0 00001010 
11 0 0 0 0 1 0 1 1 00001011 
12 0 0 0 0 1 1 0 0 00001100 
99 0 1 1 0 0 0 1 1 01100011 
(2) 将 用 二 进 制 表 示 的 IP 地址 转换 为 十 进 制 格式 。 
完成 下 表 , 将 IP 地 址 11001100.00110011.10101010.01010101 转换 为 十 进 制 格式 。 

二 进 制 128 64 32 16 8 4 2 1 十 进 制 

11001100 1 1 0 0 1 1 0 0 204 

00110011 0 0 1 1 0 0 1 1 $1 

10101010 1 0 1 0 1 0 1 0 170 

01010101 0 1 0 1 0 1 0 1 85 
完成 下 表 , 将 IP 地 址 11000110.11010011.00111001.11010001 转换 为 十 进 制 格式 。 

二 进 制 128 64 32 16 8 4 2 1 十 进 制 

11000110 1 1 0 0 0 1 1 0 198 

11010011 1 1 0 1 0 0 1 1 211 

00111001 0 0 1 1 1 0 0 1 $7 

11010001 1 1 0 1 0 0 0 1 209 
完成 下 表 , 将 全 地 址 10000100.11010010.10111000.10100110 转换 为 十 进 制 格式 。 

二 进 制 128 64 32 16 8 4 1 十 进 制 

10000100 1 0 0 0 0 1 0 0 132 

11010010 1 1 0 1 0 0 1 0 210 

10111000 1 0 1 1 1 0 0 0 184 

10100110 1 0 1 0 0 1 1 0 166 
(3) 将 二 进 制 值 转换 为 十 六 进 制 。 
完成 下 表 ， 用 十 六 进 制 表示 11011000.00011011.00111101.01110110。 

二 进 制 128 64 32 16 8 4 2 1 十 六 进 制 

11011000 1 1 0 1 1 0 0 0 D8 

00011011 0 0 0 1 1 0 1 1 1B 

00111101 0 0 1 1 1 1 0 1 3D 

01110110 0 1 1 1 0 1 1 0 76 
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完成 下 表 ， 用 十 六 进 制 表示 11001010.11110101.10000011.11101011。 


二 进 制 128 64 32 16 8 4 2 1 十 六 进 制 
11001010 1 1 0 0 1 0 1 0 CA 
11110101 1 1 1 1 0 1 0 1 FS 
10000011 1 0 0 0 0 0 1 1 83 
11101011 1 1 1 0 1 0 1 1 EB 

完成 下 表 ， 用 十 六 进 制 表 示 10000100.11010010.01000011.10110011。 

二 进 制 128 64 32 16 8 4 2 1 十 六 进 制 
10000100 1 0 0 0 1 0 0 84 
11010010 1 1 0 1 0 0 1 0 D2 
01000011 0 1 0 0 0 0 1 1 43 
10110011 1 0 1 1 0 0 1 1 B3 


2.11 书面 实验 2.2 答案 


以 太 网 LAN 中 发 生 冲 突 后 ， 将 出 现 如 下 情况 : 

(1) 拥堵 信号 告诉 所 有 的 设备 发 生 了 冲突 

(2) 冲突 导致 执行 随机 后 退 算法 

(3) 以 太 网 网 段 中 的 每 台 设备 暂停 传输 一 段 时 间 ， 直 到 定时 器 到 期 
(4) 定时 器 到 期 后 ， 所 有 主机 的 传输 优先 级 都 相同 


2.12 书面 实验 2.3 答案 


(1) 交叉 电缆 (2) 直通 电费 
(3) 交叉 电缆 (4) 交叉 电缆 
(5) 直通 电缆 (6) 交叉 电缆 
(7) 交叉 电缆 (8) 反 转 电缆 


2.13 书面 实验 2.4 答案 


在 发 送 端 ， 数 据 封 装 的 步骤 如 下 : 

(1) 用 户 信 息 被 转换 为 数据 ， 以 便 通过 网 络 传输 

(2) 数据 被 转换 为 数据 段 ， 并 在 发 送 主机 和 接收 主机 之 间 建 立 一 条 可 靠 的 连接 

(G3) 数据 段 被 转换 为 分 组 或 数据 报 ， 并 在 报头 中 加 入 逻辑 地 址 ， 使 得 能 够 在 互联 网 络 中 路 由 分 组 

(4) 分 组 或 数据 报 被 转换 为 帧 ， 以 便 在 本 地 网 络 中 传输 。 使 用 硬件 (以太 网 ) 地 址 来 唯一 地 标识 本 地 网 
络 中 的 主机 

(5) 帧 被 转换 为 比特 ， 并 使 用 数字 编码 和 时 钟 同步 方案 


第 二 


TCP/IP 简介 


本 章 涵 盖 如 下 CCNA 考试 要 点 。 

v 找 述 网 络 的 工作 原理 

口 描述 OSI 和 TCP 模 型 中 各 协议 的 用 途 和 基本 工作 原理 。 

口 使 用 分 层 模型 方法 找 出 并 修复 第 1 层 、 第 2 层 、 第 3 层 和 第 7 层 的 常见 网 络 故 障 。 

v 实现 IP 编 址 方案 和 IP 服务 ， 以 满足 中 型 企业 分 支 机 构 网 络 的 网 络 需求 

口 描述 私有 和 公有 IP 地 址 的 工作 原理 以 及 使 用 它们 的 好 处 。 

传输 控制 协议 /因特网 协议 (TCP/IP ) 是 美国 国防 部 (DoD ) 开发 的 ， 旨 在 确保 数据 的 完整 性 并 
在 发 生 毁 灭 性 战争 时 保持 通信 。 因 此 ,在 设计 和 实现 正确 的 情况 下 ，TCP/P 网 络 非常 可 靠 且 富有 弹 
性 。 本 章 将 介绍 TCP/IP 协议 ， 而 贯穿 本 书 都 将 介绍 如 何 创建 神奇 的 TCP/IP 网 络 一 一 当然 是 使 用 思 
科 路 由 器 。 

我 们 将 首先 介绍 DoD 版 本 的 TCP/IP， 然 后 将 该 版 本 及 其 协议 与 第 1 章 讨 论 的 OSI 参考 模型 进行 
比较 。 

等 你 明白 DoD 模型 各 层 使 用 的 协议 后 ， 我 将 介绍 全 编 址 以 及 当今 网 络 使 用 的 各 种 IP 地 址 。 


子 网 划分 将 在 第 4 章 介绍 。 
注意 


最 后 ， 鉴 于 IPv4 地 址 类 型 对 理解 IP 编 址 、 子 网 划分 和 VLSM ( Variable Length Subnet Mask， 变 
长 子 网 掩 码 ) 如 此 重要 ， 因 此 理解 各 种 IPv4 地 址 至 关 重 要 。 本 章 最 后 将 介绍 你 必须 知道 的 各 种 IPv4 
地 址 。 

本 章 不 讨论 IPv6， 而 只 介绍 IPv4。IPv6 将 在 第 15 章 介 绍 。 另 外 ， 介 绍 因特网 协议 第 4 版 时 ， 我 
们 将 其 简称 为 IP， 而 不 是 IPv4。 


有 关 本 章 内 容 的 最 新 修订 ,请 访问 www.lammile.com 或 www.sybex.com/go/ccna7e。 


注意 
3.1 TCP/IP 简介 
鉴于 TCP/IP 对 使 用 因特网 和 内 联网 来 说 如 此 重要 ， 你 必须 对 它 有 详细 了 解 。 我 将 首先 介绍 一 些 
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TCP/IP 背 最 知识 及 其 来 历 ,然后 讨论 最 初 的 设计 者 定义 的 重要 技术 目标 ,在 此 之 后 ,我 们 将 比较 TCP/IP 
与 理论 模型 (OSI 模型 )。 


TCP/IP 简 史 


TCP/IP 于 1973 年 面世 , 并 于 1978 年 被 划分 成 两 个 协议 : TCP 和 IP。1983 年 , TCP/IP 取代 了 NCP 
(Network Control Protocol, 网 络 控制 协议 ), 并 被 批准 成 为 官方 数据 传输 方式 , 用 于 任何 连接 到 ARPnet 
的 网 络 。ARPnet 是 因特网 的 前 身 ， 由 ARPA (美国 国防 部 高 级 研究 计划 署 ) 开发 ， 而 ARPA 是 为 应 对 
前 苏联 的 人 造 地球 卫 星 计划 于 1957 年 成 立 的 。 不 久 后 ，ARPA 改名 为 DARPA 并 被 划分 为 ARPAnet 
和 MILNET (同样 发 生 在 1983 年 )， 这 两 个 部 门 都 于 1990 年 解散 。 

但 出 乎 你 想象 的 是 ， 大 部 分 TCP/IP 开发 工作 都 是 由 位 于 加 州 北部 的 加 州 大 学 伯克利 分 校 完成 的 。 
在 加 州 大 学 伯克利 分 校 ， 当 时 还 有 一 个 科学 家 小 组 在 开发 伯克利 分 校 的 UNIX 版 本 ， 这 一 系列 UNIX 
版 本 称 为 BSD ( Berkeley Software Distribution )。 当 然 ， 鉴 于 TCP/IP 很 好 ， 它 被 集成 到 了 后 续 的 BSD 
UNIX 中 ,并 提供 给 其 他 购买 了 该 软件 的 大 学 和 机 构 。 因 此 ，BSD UNIX 和 TCP/IP 最 初 基本 上 是 学 术 
界 的 一 个 共享 软件 ， 这 使 其 成 了 当前 取得 巨大 成 功 并 呈 几 何 级 数 增长 的 因特网 的 基础 ， 也 是 小 型 私有 
企业 内 联网 的 基础 。 

就 这 样 ， 虽 然 最 初 的 TCP/IP 狂热 者 不 多 ,但 随 着 它 的 发 展 ， 美 国政 府 制定 了 测试 计划 ， 对 新 发 
布 的 标准 进行 测试 ， 确 保 它 们 符合 特定 的 标准 。 这 旨 在 保护 TCP/IP 的 完整 性 ， 避 免 开发 人 员 对 其 做 
剧烈 的 修改 或 添加 专用 功能 。 正 是 这 种 特质 (TCP/IP 系列 协议 采用 的 开放 系统 方法 ) 让 TCP/IP 得 以 
流行 ， 因 为 它 确保 各 种 硬件 和 软件 平台 能 够 彼此 无 条 件 互联 。 


3.2 TCP/IP 和 DoD 模型 


DoD 模型 是 OSI 模 型 的 精简 版 ， 它 包含 4 层 ( 而 不 是 7 层 ): 

口 进程 /应 用 层 ; 

口 主机 到 主机 层 ; 

口 因特网 层 ; 

O 网 络 接 人 层 。 

图 3-1 对 DoD 模型 和 OSI 参考 模型 进行 了 比较 。 正 如 你 看 到 的 ， 这 两 个 模型 在 概念 上 是 相似 的 ， 
但 它们 包含 的 层 数 不 同 ， 各 层 的 名 称 也 不 同 。 


讨论 耳 栈 中 的 各 种 协议 时 ， OSI 和 DoD 模型 的 层 可 互 换 。 换 向 话说 ,因特网 层 
注意 和 网 络 层 是 一 回 事 ， 而 主机 到 主机 层 和 传输 层 是 一 回 事 。 


DoD 模型 的 进程 /应 用 层 包含 大 量 的 协议 ， 以 集成 分 布 在 OSI 上 三 层 ( 应 用 层 、 表 示 层 和 会 话 层 ) 
的 各 种 活动 和 职责 , 本 章 后 面 将 深入 介绍 这 些 协议 。 进 程 /应 用 层 定 义 了 用 于 节点 间 应 用 程序 通信 的 协 
议 ， 还 定义 了 用 户 界面 规范 。 

主机 到 主机 层 的 功能 与 OSI 模 型 的 传输 层 相同 , 定义 了 用 于 为 应 用 程序 提供 传输 服务 的 协议 , 它 
负责 解决 的 问题 包括 进行 可 靠 的 端 到 端 通信 和 确保 正确 地 传输 数据 ， 还 对 分 组 进行 排序 ， 并 确保 数据 
的 完整 性 。 
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DoD 模型 OSI 模型 


进程 /应 用 层 | 一 一 一 一 一 > 


主机 到 主机 层 | 一 > 


| 


网 络 接 入 层 | 一 一 一 一 一 一 > 


图 3-1 DoD 模型 和 OSI 模型 


因特网 层 对 应 OSI 模型 的 网 络 层 ,指定 了 与 通过 整个 网 络 对 分 组 进行 逻辑 传输 相关 的 协议 。 它 负 
责 对 主机 进行 编 址 一 一 给 它们 分 配 (因特网 协议 ) 地 址 ， 还 在 多 个 网 络 之 间 路 由 分 组 。 

DoD 模型 的 最 底 端 是 网 络 接 入 层 , 它 在 主机 和 网 络 之 间 交 换 数 据 。 网 络 接 人 层 对 应 OSI 模型 的 数 
据 链 路 层 和 物理 层 ， 它 负责 硬件 编 址 ， 并 定义 了 用 于 实际 传输 数据 的 协议 。 

DoD 模型 和 OSI 模型 在 设计 和 概念 上 相似 ， 且 对 应 层 的 功能 也 类 似 。 图 3-2 显示 了 TCP/IP 协议 
簇 以 及 其 中 协议 对 应 的 DoD 模型 层 。 


DoD 模型 


主机 到 主机 层 


快速 以 太 网 


图 3-2 TCP/IP 协议 簇 
接 下 来 的 几 节 将 更 详细 地 介绍 各 种 协议 ， 从 介绍 进程 /应 用 层 协 议 开 始 。 
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. 3.2.1 进程 /应 用 层 协议 
本 节 介 绍 人 P 网 络 中 使 用 的 各 种 应 用 程序 和 服务 ， 包 括 如 下 协议 和 应 用 程序 。 


口 Telnet 口 SNMP 
口 FTP 口 SSH 
口 TFTP 口 HTTP 
口 NFS 口 HITPS 
口 SMTP D NTP 
口 POP 口 NNTP 
口 IMAP4 口 SCP 
QTLS 口 LDAP 
口 SP (VoIP) 口 IGMP 
口 RTP (VoIP) 口 LPR 
口 LPD 口 DNS 
口 XWindow OD .DHCP/BootP 
1. Telnet 


Telnet 是 这 些 协议 中 的 变色 龙 ， 专 司 终端 模拟 。 它 让 远程 客户 端 机 器 〈 Telnet 客户 端 ) 的 用 户 能 
够 访问 另 一 台 机 器 (Telnet 服务 器 ) 的 资源 。 为 此 ，Telnet 在 Telnet 服务 器 上 要 花招 ， 让 客户 端 机 器 看 
起 来 像 是 与 本 地 网 络 直 接 相 连 的 终端 。 这 实际 上 是 使 用 软件 营造 的 假象 一 可 与 选 定 的 远程 主机 交互 
的 虚拟 终端 。 

这 些 模拟 终端 使 用 文本 模式 ， 可 执行 指定 的 操作 ， 如 显示 菜单 ， 证 用 户 能 够 选择 选项 以 及 访问 服 
务 器 的 应 用 程序 。 要 建立 Telnet 会 话 ， 用 户 首先 运行 Telnet 客户 端 软 件 ， 然 后 登录 Telnet 服务 器 。 

2. FTP 

FIP ( File Transfer Protocol， 文 件 传输 协议 ) 让 你 能 够 传输 文件 ， 这 可 在 任何 两 台 使 用 它 的 机 器 之 
间 进 行 。 然 而 ，FTP 不 仅仅 是 协议 ， 还 是 程序 。 作 为 协议 ，FTP 供应 用 程序 使 用 ; 作为 程序 ，FTP 供 
用 户 手工 执行 与 文件 相关 的 任务 。FTP 让 你 能 够 访问 目录 和 文件 以 及 执行 某 些 类 型 的 目录 操作 ， 如 将 
其 移 到 其 他 目录 中 。 

通过 FTP 访问 主机 只 是 第 一 步 , 随后 用 户 必须 通过 身份 验证 登录 , 因为 系统 管理 员 可 能 使 用 密码 
和 用 户 名 来 限制 访问 。 要 避 开 这 种 身份 验证 ， 可 使 用 用 户 名 anonymous， 但 这 样 获 得 的 访问 权 将 受到 
限制 。 

即使 被 用 户 用 作 程 序 ，FTP 的 功能 也 仅 限 于 列 出 和 操作 目录 、 输 入 文件 内 容 以 及 在 主机 之 间 复 制 
文件 ， 而 不 能 远程 执行 程序 。 

3. TFTP 

TFTP ( Trivial File Transfer Protocol， 简 单 文件 传输 协议 ) 是 FTP 的 简化 版 , 但 如 果 你 知道 自己 要 
什么 以 及 到 哪里 去 寻找 ， 也 可 使 用 它 。 另 外 ， 它 使 用 起 来 非常 简单 ， 速 度 也 很 快 。 然 而 ， 它 提供 的 功 
能 没有 FTP 丰富 。TFTP 没有 提供 目录 浏览 功能 ， 除 发 送 和 接收 文件 外 什么 也 不 能 做 。 这 个 紧凑 的 小 
协议 的 开销 很 小 , 它 发 送 的 数据 块 比 FTP 发 送 的 小 得 多 , 也 不 像 FTP 那样 需要 进行 身份 验证 , 因此 更 
不 安全 。 鉴 于 这 种 固有 的 安全 风险 ， 支 持 它 的 网 站 很 少 。 

4. NFS 

NFS ( Network File System， 网 络 文件 系统 ) 是 一 种 致力 于 文件 共享 的 协议 , 让 两 种 不 同 的 文件 系 
统 能 够 互 操 作 。 其 工作 原理 大 致 如 下 : 假设 NFS 服务 器 端 软件 运行 在 Windows 服务 器 上 ， 而 NFS 客 
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户 端 软件 运行 在 Unix 主机 上 ，NFS 让 Windows 服务 器 的 部 分 RAM 看 起 来 像 存储 的 是 Unix 文件 ， 可 
被 Unix 用 户 使 用 。 虽然 Windows 文件 系统 和 Unix 文件 系统 不 同一 一 它们 在 是 否 区 分 大 小 写 、 文 件 名 
长 度 、 安 全 性 等 方面 不 同 ， 但 Unix 用 户 和 Windows 用 户 可 像 通 常 那样 访问 相同 的 文件 ， 就 像 文件 位 
于 他 们 通常 使 用 的 文件 系统 中 一 样 。 


ED 真实 案例 


什么 情况 下 应 使 用 FTP? 


旧金山 办 事 处 的 同事 要 求 你 立刻 将 一 个 50 GB 的 文件 发 送 给 他 , 你 该 如 何 办 呢 ? 大 多 数 电 子 
邮件 服务 器 都 会 拒绝 这 样 的 邮件 ， 因 为 它们 对 邮件 大 小 有 限制 。 即 使 对 邮件 大 小 没有 限制 ， 将 这 
样 大 的 文件 发 送 到 旧金山 也 需要 一 段 时 间 。 此 时 ，FTP 可 提供 帮助 。 

如 果 你 需要 将 大 型 文件 给 他 人 或 需要 从 他 人 那里 获取 大 型 文件 ，FTP 是 不 错 的 选择 。 如 果 你 
安装 了 DSL 或 有 线 电视 调制 解 调 器 ， 对 于 较 小 的 文件 (小 于 5MB )， 只 需 通 过 电子 邮件 发 送 。 然 
而 , 大 多 数 ISP 都 不 允许 电子 邮件 附件 超过 5MB 或 10MB， 因 此 需要 收发 大 型 文件 时 (这 年 头 谁 
不 需要 呢 )，FTP 是 你 应 该 考虑 的 一 种 选择 。 要 使 用 FTP， 你 需要 在 因特网 上 搭建 服务 器 ， 以 便 能 
够 共享 文件 。 

另外 ，FTP 的 速度 比 电 子 邮件 快 ， 这 是 使 用 FTP 收发 大 型 文件 的 另 一 个 原因 。 还 有 ， 它 使 用 
TCP, 是 面向 连接 的 ， 所 以 如 果 会 话 中 断 ,， FTP 可 从 中 断 的 地 方 续 传 。 电 子 邮 件 客 户 端 不 支持 续 传 ! 


5. SMTP 

SMTP (Simple Mail Transfer Protocol， 简 单 邮 件 传输 协议 ) 解决 了 无 处 不 在 的 邮件 收发 需求 ， 它 
使 用 假 脱 机 (排队 ) 的 方式 传递 邮件 。 邮 件 到 达 目 的 地 后 ， 将 被 存储 到 设备 (通常 是 磁盘 ) 中 。 目 标 
端的 服务 器 软件 定期 检查 队列 ， 看 其 中 是 否 有 邮件 。 发 现 邮 件 后 ， 它 将 把 它们 投递 给 收 件 人 。SMTP 
用 于 发 送 电子 邮件 ， 而 POP3 或 IMAP 用 于 接收 邮件 。 

6. POP 

POP (Post Office Protocol， 邮 局 协议 ) 提供 了 一 种 对 到 来 邮件 进行 存储 的 机 制 ， 其 最 新 版 本 为 
POP3。 这 种 协议 的 工作 原理 如 下 : 客户 端 设 备 连接 到 POP3 服务 器 后 ， 可 下 载 发 送 给 它 的 邮件 。 它 
不 允许 选择 性 地 下 载 邮 件 ， 但 邮件 下 载 后 ， 客 户 端 /服务 器 交互 就 结束 了 ， 用 户 可 在 本 地 随意 删除 和 


操作 邮件 。 接 下 来 将 介绍 一 种 更 新 的 标准 一 一 IMAP， 它 正 逐 渐 取代 POP3， 这 是 什么 原因 呢 ? 
7. IMAP4 


由 于 IMAP4 (Internet Message Access Protocol， 因 特 网 消息 访问 协议 ) 让 你 能 够 控制 邮件 的 下 载 
方式 ， 因 此 使 用 它 可 获得 量 需 的 安全 性 。 它 让 你 能 够 查看 邮件 头 或 下 载 邮件 的 一 部 分 一 一 你 可 以 咬 住 
鱼饵 ， 而 不 是 将 其 整个 吞 下 ， 进 而 被 藏 在 鱼饵 中 的 鱼 钩 钩 住 。 

使 用 IMAP 时 ， 你 可 选择 将 邮件 以 层次 方式 存储 在 电子 邮件 服务 器 中 ， 并 链接 到 文档 和 用 户 组 。 
IMAP 甚至 提供 了 搜索 命令 ， 让 你 能 够 根据 主题 、 邮 件 头 或 内 容 搜 索 邮 件 。 可 以 想见 ， 它 提供 了 一 些 
身份 验证 功能 一 一 实际 上 它 支持 MIT 开发 的 Kerberos 身份 验证 方案 。IMAP4 是 最 新 的 版 本 。 

8. TLS 

TLS ( Transport Layer Security， 传 输 层 安全 ) 及 其 前 身 SSL ( Secure Sockets Layer， 安 全 套 接 字 
层 ) 都 是 加 密 协议 , 非常 适合 用 于 确保 在 线 数据 传输 的 安全 ,如 Web 浏览 、 即 时 通信 、 因 特 网 传真 等 。 
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它们 极其 相似 ， 本 书 不 详细 介绍 它们 之 间 的 差别 。 

9. SIP (VolP) 

SIP ( Session Initiation Protocol， 会 话 发 起 协议 ) 是 一 种 非常 流行 的 信 令 协议 ， 用 于 建立 和 拆除 多 
媒体 通信 会 话 ， 其 应 用 非常 广泛 ， 可 用 于 因特网 上 的 语音 和 视频 呼叫 、 视 频 会 议 、 流 媒体 分 发 、 即 时 
通信 、 状 态 信息 (presence information )、 在 线 游戏 等 。 

10. RTP (VolP) 

RTP ( Real-time Transport Protocol， 实 时 传输 协议 ) 是 一 种 分 组 格式 标准 ， 用 于 通过 因特网 传输 
语音 和 视频 。 虽 然 它 最 初 被 设计 为 一 种 组 播 协议 ， 但 现在 也 被 用 于 单 播 应 用 程序 中 。 它 常 被 用 于 流 式 
媒体 、 视 频 会 议和 一 键 通 (push to talk ) 系统 ， 这 使 其 成 了 VoIP (Voice over IP，IP 语 音 ) 行业 的 事 
实 标准 。 

11. LDP 

LDP (Line Printer Daemon， 行 式 打印 机 守护 进程 ) 协议 设计 用 于 共享 打印 机 。LPD 和 LPR ( Line 
Printer, 行 式 打印 机 ) 程 序 相互 协作 , 使 得 能 够 将 打印 作业 排队 并 使 用 TCP/IP 将 其 发 送 给 网 络 打印 机 。 

12. X Window 

X Window 是 为 客户 端 /服务 器 操作 设计 的 ， 是 一 种 编写 基于 GUI ( Graphical User Interface， 图 形 
用 户 界 面 ) 的 客户 端 /服务 器 应 用 程序 的 协议 。 其 基本 思想 是 , 让 运行 在 一 台 计 算 机 上 的 客户 端 程序 能 
够 通过 窗口 服务 器 显示 另 一 台 计 算 机 的 内 容 。 

13. SNMP : 

SNMP ( Simple Network Management Protocol， 简 单 网 络 管理 协议 ) 收集 并 操作 有 价值 的 网 络 信 
息 。 它 运行 在 管理 工作 站 上 ， 定 期 或 随机 地 轮 询 网 络 中 的 设备 ， 要 求 它们 暴露 特定 的 信息 ， 以 收集 数 
据 。 在 一 切 正常 的 情况 下 ，SNMP 将 收 到 基线 (baseline ) 信息 ， 即 描述 健康 网 络 运行 特征 的 报告 。 该 
协议 还 可 充当 网 络 的 看 门 狗 ， 将 任何 突 发 事件 迅速 告知 管理 员 。 这 些 网 络 看 门 狗 称 为 代理 ， 出 现 异 常 
情况 时 ， 代 理 将 向 管理 工作 站 发 送 称 为 trap 的 警告 。 


SNMP 版 本 1、 版 本 2 和 版 本 3 | 


SNMP 第 1 版 和 第 2 版 相当 陈旧 了 ， 然 而 你 仍 会 在 网 络 中 遇 到 它们 , 但 v1 很 旧 ， 已 经 过 时 
了 。SNMPv2 做 了 改进 ,尤其 在 性 能 方面 ， 它 添加 的 最 佳 功 能 之 一 是 GETBULK， 让 主机 能 够 一 
次 获取 大 量 数据 。 然 而 ， 在 网 络 领 域 ，v2 从 未 流行 过 。SNMPv3 是 最 新 的 标准 ， 它 使 用 TCP 和 
UDP， 而 v1 只 使 用 UDP。v3 进一步 提高 了 安全 性 和 消息 完整 性 、 身 份 验证 和 加 密 。 


14. SSH 

安全 外 壳 ( SSH ) 协议 通过 标准 TCP/IP 连接 建立 安全 的 Telnet 人 会话， 用 于 执行 如 下 操作 : 登录 系 
统 、 在 远程 系统 中 运行 程序 以 及 在 系统 间 传 输 文件 等 。 它 在 执行 这 些 操作 时 都 使 用 健壮 的 加 密 连 接 。 
你 可 将 其 视 为 用 于 替代 rsh、r1ogin 甚至 Telnet 的 新 一 代 协 议 。 

15. HTTP 

所 有 出 色 的 网 站 都 会 包含 图 像 、 文 本 、 链 接 等 , 这 一 切 都 是 拜 HTTP ( Hypertext Transfer Protocol， 
超 文本 传输 协议 ) 所 赐 。 它 用 于 管理 Web 浏览 器 和 Web 服务 器 之 间 的 通信 ， 在 你 单 击 链接 时 打开 相 
应 的 资源 ， 而 不 管 该 资源 实际 位 于 何 地 。 
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16. HTTPS 

HTTPS ( Hypertext Transfer Protocol Secure, 安全 超 文本 传输 协议 ) 使 用 SSL ( Secure Socket Layer， 
安全 套 接 字 层 ) 有 时 也 称 为 SHTTP 或 S-HTTP (这 是 一 个 HTTP 扩展 , 不 使 用 SSL ), 但 这 无 关 紧 要 。 
顾名思义 , 它 是 安全 版 HTFTP， 提 供 了 一 系列 安全 工具 ， 可 确保 Web 浏览 器 和 Web 服务 器 之 间 的 通信 
安全 。 当 你 在 网 上 预订 或 购物 时 ， 浏 览 器 需要 使 用 它 来 填写 表格 、 签 名 、 验 证 和 加 密 HTTP 消息 。 

17. NTP 

NTP (Network Time Protocol， 网 络 时间 协 议 ) 用 于 将 计算 机 时 钟 与 标准 时 间 源 (通常 是 原子 钟 ) 
同步 ,由 特 拉 华 大 学 的 David Mills 教授 开发 。NTP 将 设备 同步 , 确保 给 定 网 络 中 所 有 计算 机 的 时 间 一 
致 。 这 虽然 听 起 来 非常 简单 ， 但 却 非常 重要 ， 因 为 当今 的 很 多 交易 都 需要 指出 时 间 和 日 期 。 想 想 你 的 
数据 库 吧 ， 如 果 服 务 器 不 与 相连 的 计算 机 同步 ， 哪 怕 只 相差 几 秒 ， 也 会 带 来 严重 的 混乱 (甚至 崩溃 )。 
如 果 某 台 机 器 在 凌晨 1:50 发 起 交易 ， 而 服务 器 将 交易 时 间 记 录 为 1:45， 交 易 将 无 法 完成 。 因 此 ,NTP 
可 避免 因 “ 没 有 Delorean 就 回 到 未 来 ”而 导致 网 络 骨 省， 这 点 确实 非常 重要 。 

18. NNTP 

NNTP (Network News Transfer Protocol， 网 络 新 闻 传 输 协 议 ) 用 于 访问 Usenet 新 闻 服 务 器 ， 这 种 
服务 器 存储 了 大 量 称 为 新 闻 组 的 留言 板 。 你 可 能 知道 ， 这 些 新 闻 组 可 以 是 任何 有 特定 兴趣 的 人 群 。 例 
如 ， 如 果 你 是 某 款 经 典 车 型 的 发 烧 友 或 WWI 飞机 爱好 者 ， 很 可 能 有 大 量 基 于 这 些 兴 趣 爱 好 的 新 闻 组 
供 你 加 入 。NNTP 是 在 RFC 977 中 定义 的 。 鉴 于 新 闻 阅 读 器 程序 的 配置 非常 复杂 ， 我 们 通常 依靠 很 多 
网 站 (甚至 搜索 引擎 ) 来 访问 各 种 资源 。 

19. SCP 

FTP 很 好 ， 它 易于 使 用 ， 是 一 种 用 户 友 好 型 文件 传输 方式 一 前 提 是 你 不 需要 安全 地 传输 这 些 文 
件 。 这 是 因为 使 用 FTP 传输 数据 时 ,将 随 文 件 请 求 以 明文 方式 发 送 用 户 名 和 密码 ,根本 没有 加 密 ， 任 
何人 都 能 看 到 。 这 就 像 绝 境 中 的 孤注一掷 ， 你 只 是 将 信息 发 送出 去 ， 并 祈祷 信息 不 要 被 坏人 拦截 。 

在 这 样 的 场合 ，SCP ( Secure Copy Protocol， 安 全 复制 协议 ) 可 提供 帮助 ， 它 通过 SSH 保护 你 金 
贵 的 文件 。 它 首先 在 发 送 主 机 和 接收 主机 之 间 建 立 一 条 安全 的 加 密 连 接 ， 并 一 直 保 持 这 种 状态 ， 直 到 
文件 传输 完毕 。 有 了 SCP ， 你 孤注一掷 抛 出 的 球 将 只 能 被 目标 接收 方 获得 ! 然而 ， 在 当今 的 网 络 中 ， 
更 健壮 的 SFTP 比 SCP 更 常用 。 

20. LDAP 

如 果 管 理 的 网 络 规模 适当 ， 你 很 可 能 会 在 某 个 地 方 存储 目录 ， 记 录 所 有 的 网 络 资源 ， 如 设备 和 用 
户 。 但 如 何 访问 这 些 目录 呢 ? 通过 LDAP (Lightweight Directory Access Protocol， 轻 量 级 目录 访问 协 
议 ) 该 协议 对 如 何 访问 目录 进行 了 标准 化 ， 其 第 1 版 和 第 2 版 分 别 是 在 RFC 1487 和 RFC 1777 中 定 
义 的 。 这 两 个 版 本 存在 一 些 缺 陷 ， 为 解决 这 些 问题 ， 人 们 开发 了 第 3 版 LDAP ( 当前 最 常用 的 版 本 )， 
这 是 在 RFC 3377 中 定义 的 。 


Ee 


从 1969 年 开始 ， 请 求 评论 (RFC ) 形成 了 一 系列 因特网 (最初 为 ARPAnet) 注 
注意 释 。 这 些 注释 讨论 了 计算 机 通信 的 很 多 方面 ， 它 们 的 重点 是 协议 、 规 程 、 程 序 和 概 
念 ， 但 也 包含 会 议 记 录 、 观 点 和 幽默 故 事 。 要 寻找 RFC， 可 访问 www.iana.org。 


@ 指 《 回 到 未 来 》 中 那 辆 能 够 穿梭 时 空 的 靓 车 DMC-12， 没 有 这 种 时 间 机 器 ， 马 蒂 和 布朗 博士 怎 能 回 到 未 来 ? 
一 一 编者 注 
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21. IGMP 

IGMP ( Internet Group Management Protocol， 因 特 网 组 管理 协议 ) 是 一 种 用 于 管理 全 组 播 会 话 的 
TCP/IP 协议 , 它 这 样 完成 其 职责 : 通过 网 络 发 送 唯一 的 IGMP 消息 ， 以 揭示 组 播 组 信息 ， 并 找 出 主机 
所 属 的 组 播 组 。IP 网 络 中 的 主机 也 使 用 IGMP 消息 来 加 入 和 退出 组 播 组 。IGMP 消息 非常 方便 用 于 跟 
踪 组 成 员 关 系 以 及 激活 组 播 流 。 

22. LPR 

在 纯粹 的 TCP/IP 环境 中 打印 时 ， 人 们 通常 结合 使 用 LPR( 行 式 打印 机 ) 和 LPD (Line Printer 
Daemon， 行 式 打印 机 守护 进程 ) 来 完成 打印 作业 。LPD 安装 在 所 有 打印 设备 七 ， 负 责 处 理 打印 机 和 
打印 作业 。LPR 运行 于 客户 端 (发 送 主 机 )， 用 于 将 数据 从 主机 发 送 到 网 络 打印 资源 ， 让 你 能 够 得 到 
打印 输出 。 

23. DNS 

DNS (Domain Name Service, 域名 服务 ) 解析 主机 名 ,具体 地 说 是 因特网 名 称 ， 如 www.routersim. 
com。 你 并 非 一 定 要 使 用 DNS， 可 只 输入 要 与 之 通信 的 设备 的 IP 地 址 。IP 地 址 表示 网 络 和 因特网 中 
的 主机 , 然而 ,，DNS 旨 在 让 我 们 的 生活 更 便捷 。 想 想 下 面 这 种 情形 : 如 果 要 将 网 页 移 到 另 一 家 服务 提 
供 商 , 结果 将 如 何 呢 ?IP 地址 将 改变 ， 但 没有 人 知道 新 的 下 地 址 。DNS 让 你 能 够 使 用 域名 指定 全 地 
址 ， 你 可 以 随时 修改 瑟 地 址 ， 而 不 会 有 人 感觉 到 有 何不 同 。 

DNS 用 于 解析 FQDN (Fully Qualified Domain Name， 全 限定 域名 )， 如 www.lammle.com 或 
todd.lammle.com。FQDN 是 一 种 层次 结构 ， 可 根据 域名 标识 符 查 找 系统 。 

如 果 要 解析 名 称 todd， 则 要 么 输入 FQDNtodd.lammle.com， 要 么 让 设备 (如 PC 或 路 由 器 ) 帮助 
你 添加 后 组 。 例 如 ， 在 思科 路 由 器 中 ， 你 可 使 用 命令 ip domain-name 1ammle.con 给 每 个 请 求 加 上 
域名 lammle.com。 如 果 不 这 样 做 ， 则 你 必须 输入 FQDN， 这 样 DNS 才能 对 名 称 进行 解析 。 


有 关 DNS 需要 牢记 的 一 个 重点 是 ， 如 果 能 够 使 用 IP 地 址 ping 某 台 设备 ， 但 使 
提示 。 用 其 FQDN 不 管用 ， 则 可 能 是 DNS 配置 有 问题 。 


24. DHCP/BootP 

DHCP ( Dynamic Host Configuration Protocol, 动态 主机 配置 协议 ) 给 主机 分 配 人 P 地址， 让 管理 工 
作 更 轻松 , 非常 适合 用 于 各 种 规模 的 网 络 。 各 种 类 型 的 硬件 都 可 用 作 DHCP 服务 器 , 包括 思科 路 由 器 。 

DHCP 与 BootP( Bootstrap Protocol， 自 举 协 议 ) 的 差别 在 于 ，BootP 给 主机 分 配 地 址 , 但 必须 
手工 将 主机 的 硬件 地 址 输入 到 BootP 表 中 。 你 可 将 DHCP 视 为 动态 的 BootP。 但 别 忘 了 ，BootP 也 可 
用 于 发 送 操作 系统 ， 让 主机 使 用 它 启 动 ， 而 DHCP 没有 这 样 的 功能 。 

主机 向 DHCP 服务 器 请 求 IP 地 址 时 ，DHCP 服务 器 可 将 大 量 信息 提供 给 主机 。 下 面 是 DHCP 服 
务 器 可 提供 的 信息 列表 : 

口 PP 地 址 ; 

口子 网 掩 码 ; 

口 域名 ; 

口 默认 网 关 ( 路 由 器 ); 

口 DNS 服务 器 的 地 址 ; 

口 WINS 服务 器 的 地 址 。 


66 第 3 章 TCP/IP 简介 


DHCP 服务 器 还 可 提供 其 他 信息 ， 但 上 面 列 出 的 信息 是 最 常见 的 。 

为 获得 IP 地 址 而 发 送 DHCP 发 现 消息 的 主机 在 第 2 层 和 第 3 层 都 发 送 广播 : 

口 第 2 层 广 播 的 地 址 在 十 六 进 制 表示 下 全 为 E， 即 FF:FF:FF:FF:FF:FF; 

口 第 3 层 广播 的 地 址 为 255.255.255.255， 这 表示 所 有 网 络 和 所 有 主机 。 

DHCP 是 无 连接 的 ， 这 意味 着 它 在 传输 层 使 用 UDP ( User Datagram Protocol， 用 户 数据 报 协 议 )， 
这 层 也 叫 主 机 到 主机 层 ， 稍 后 将 介绍 它 。 

为 防止 你 不 相信 我 ， 下 面 是 我 信任 的 分 析 器 的 输出 示例 : 

Ethernet II, Src: 0.0.0.0 (00:0b:db:99:d3:5e),Dst: Broadcast(ff:ff:ff:ff:ff:ff) 

Internet Protocol, Src: 0.0.0.0 (0.0.0.0),Dst: 255.255.255.255(255.255.255.255) 


数据 链 路 层 和 网 络 层 都 给 “全 体 成 员 ” 发 送 广播 ， 指 出 “ 帮 帮 有 我， 我 不 知道 自己 的 耳 地 址 ”。 


本 章 末 尾 将 更 详细 地 讨论 广播 地 址 。 
注意 


图 3-3 说 明了 DHCP 服务 器 和 客户 端 之 间 的 交互 。 


客户 端 广播 
DHCPDiscover 


服务 器 单 播 
DHCPOffer 


客户 端 广播 
DHCPRequest 


服务 器 单 播 
DHCPACK 


图 3-3 ”DHCP 服务 器 和 客户 端 之 间 的 4 次 交互 
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客户 端 向 DHCP 服务 器 请 求 IP 地 址 的 4 个 步骤 如 下 : 
(1) DHCP 客户 端 广播 一 条 DHCP 发 现 消 息 ， 旨 在 寻找 DHCP 服务 器 ( 端口 67 ); 
(2) 收 到 DHCP 发 现 消 息 的 DHCP 服务 器 向 主机 发 回 一 条 单 播 DHCP 提议 消息 ; 
(3) 客户 端 向 服务 器 广播 一 条 DHCP 请 求 消息 ， 请 求 提议 的 瑟 地 址 和 其 他 信息 ; 
(4) 服务 器 以 单 播 方式 发 回 一 条 DHCP 确认 消息 ， 完 成 交互 。 
@ DHCP 冲突 
台 主 机 使 用 相同 的 IP 地 址 时 ， 就 发 生 了 DHCP 地 址 冲突 。 这 听 起 来 很 糟糕 ， 不 是 吗 ? 当然 糟 

在 介绍 IPv6 的 那 章 ， 根 本 不 需要 讨论 这 个 问题 。 
在 分 配 IP 地 址 的 过 程 中 ，DHCP 服务 器 在 分 配 地 址 池 中 的 地 址 前 ， 将 使 用 ping 程序 来 测试 其 可 
用 性 。 如 果 没 有 主机 应 答 ，DHCP 服务 器 将 认为 该 下 地址 未 分 配 出 去 。 这 有 助 于 服务 器 知道 它 要 分 配 
的 地 址 未 被 占用 ， 但 主机 呢 ? 为 进一步 避免 如 此 糟糕 的 人 P 地 址 冲突 问题 ， 主 机 可 广播 自己 的 地 址 。 

主机 使 用 免费 ARP ( gratuitous ARP ) 来 帮助 避免 地 址 重复 。 为 此 ，DHCP 客户 端 在 本 地 LAN 或 
VLAN 中 发 送 ARP 广播 ， 并 要 求解 析 分 配 新 给 它 的 地 址 ， 从 而 将 冲突 消灭 在 昔 芽 状态 。 

如 果 检 测 到 他 地 址 冲突 , 相应 的 人 P 地址 将 从 DHCP 地 址 池 中 删除 ; 且 在 管理 员 手 工 解决 冲突 前 ， 
该 地 址 不 会 被 分 配给 任何 主机 ， 牢 记 这 一 点 很 重要 。 


泊 


pn 


有 关 在 Cisco 路 由 器 中 如 何 配置 DHCP， 以 及 DHCP 客户 端 和 DHCP 服务 器 分 
注意 ” 别 位 于 路 由 器 两 边 (不同 网 络 中 ) 的 结果 将 如 何 ， 请 参阅 第 6 章 。 


25. APIPA 

如 果 一 台 交 换 机 或 集线器 连接 了 多 台 主 机 , 且 没 有 DHCP 服务 器 , 该 如 何 办 呢 ? 你 可 手工 添加 IP 
信息 ( 称 为 静态 IP 编 址 )， 但 Windows 提供 了 APIPA ( Automatic Private IP Addressing， 自 动 私 有 IP 
编 址 )， 这 种 功能 只 有 较 新 的 Windows 操作 系统 才 有 。 有 了 APIPA， 客 户 端 可 在 DHCP 服务 器 不 可 用 
时 自动 给 自己 配置 P 地 址 和 子 网 掩 码 ( 主机 用 来 通信 的 基本 IP 信息 )。 APIPA 使 用 的 中 地 址 范围 为 
169.254.0.1 一 169.254.255.254， 客 户 端 还 会 给 自己 配置 默认 的 B 类 子 网 掩 码 一 一 255.255.0.0。 

然而 ， 如 果 在 有 DHCP 服务 器 的 公司 网 络 中 ， 主 机 使 用 了 该 范围 内 的 IP 地 址 ， 则 表明 要 么 主机 
的 DHCP 客户 端 不 正常 ， 要 么 服务 器 停止 运行 了 或 因 网 络 问题 而 不 可 达 。 在 我 认识 的 人 当中 , 还 没有 
谁 在 看 到 主机 使 用 该 范围 内 的 卫 地 址 后 还 感到 高 兴 的 。 

下 面 来 看 看 传输 层 ， 即 DoD 模型 中 的 主机 到 主机 层 。 


3.2.2 ”主机 到 主机 层 协议 


主机 到 主机 层 的 主要 功能 是 对 上 层 应 用 程序 隐藏 网 络 的 复杂 性 ， 它 告诉 上 层 :“ 只 需 将 你 的 数据 
和 说 明 给 我 ， 我 将 对 你 的 信息 进行 处 理 ， 为 发 送 做 好 准备 。” 

接 下 来 的 几 节 将 介绍 该 层 的 两 种 协议 : 

口 传输 控制 协议 (TCP ); 

口 用 户 数据 报 协议 (UDP )。 

另外 ， 我 们 还 将 介绍 一 些 重要 的 主机 到 主机 协议 概念 ， 还 有 端口 号 。 
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RPO EAN 


别 忘 了 ， 这 仍 被 视 为 第 4 层 ， 第 4 层 可 使 用 确认 、 排 序 和 流量 控制 ， 思 科 喜 欢 
注意 这 一 点 o 


1. TCP 

TCP (Transmission Control Protocol ,传输 控制 协议 ) 接收 来 自 应 用 程序 的 大 型 数据 块 ， 并 将 其 划 
分 成 数据 段 。 它 给 每 个 数据 段 编号 , 让 接收 主机 的 TCP 栈 能 够 按 应 用 程序 希望 的 顺序 排列 数据 段 。 发 
送 数 据 段 后 ， 发 送 主机 的 TCP 等 待 来 自 接收 端 TCP 的 确认 ， 并 重 传 未 得 到 确认 的 数据 段 。 

发 送 主机 开始 沿 分 层 模型 向 下 发 送 数据 段 之 前 ， 发 送 方 的 TCP 栈 与 目标 主机 的 TCP 栈 联系 ， 以 
建立 连接 。 它 们 创建 的 是 虚 电 路 ， 这 种 通信 被 认为 是 面向 连接 的 。 在 这 次 初始 握手 期 间 ， 两 个 TCP 
栈 还 将 就 如 下 方面 达成 一 致 : 在 接收 方 的 TCP 发 回 确认 前 , 将 发 送 的 信息 量 。 预先 就 各 方面 达成 一 致 
后 ， 就 为 可 靠 通信 和 铺 平 了 道路 。 

TCP 是 一 种 可 靠 的 精确 协议 ， 它 采用 全 双 工 模式 ， 且 面向 连接 ， 但 需要 就 所 有 条 款 和 条 件 达 成 一 
致 ， 还 需 进行 错误 检查 ， 这 些 任务 都 不 简单 。TCP 很 复杂 ， 且 网 络 开销 很 大 ， 这 没有 什么 可 奇怪 的 。 
鉴于 当今 的 网 络 比 以 往 的 网 络 可 靠 得 多 ， 这 些 额外 的 可 靠 性 通常 是 不 必要 的 。 大 多 数 程序 员 都 使 用 
TCP， 因 为 它 消除 了 大 量 的 编程 工作 ， 但 实时 视频 和 VoIP 使 用 UDP， 因为 它们 无 法 承受 额外 的 开销 。 

@ TCP 数据 段 的 格式 

鉴于 上 层 只 将 数据 流 发 送 给 传输 层 的 协议 , 下 面 将 说 明 TCP 如 何 将 数据 流 分 段 , 为 因特网 层 准备 
好 数据 。 因 特 网 层 收 到 数据 段 后 ， 将 其 作为 分 组 在 互联 网 络 中 路 由 。 随 后 ， 数 据 段 被 交 给 接收 主机 的 
主机 到 主机 层 协议 ， 而 该 协议 重建 数据 流 ， 并 将 其 交 给 上 层 应 用 程序 或 协议 。 

图 3-4 说 明了 TCP 数据 段 的 格式 ， 其 中 列 出 了 TCP 报头 中 的 各 种 字段 。- 


16 位 源 端 口 | 16 位 目标 端口 
32 位 序列 号 
32 位 确认 号 
4 位 报头 保留 标志 16 位 窗口 大 小 
长 度 
16 位 TCP 校 验 和 | 16 位 紧急 指针 


图 3-4 TCP 数据 段 的 格式 


TCP 报头 长 20 B〈 在 包含 选项 时 为 24 B )， 你 必须 理解 TCP 数据 段 中 的 每 个 字段 。 

口 源 端 口 ”发 送 主机 的 应 用 程序 的 端口 号 〈 端口 号 将 在 本 节 后 面 解释 )。 

口 目标 端口 目标 主机 的 应 用 程序 的 端口 号 。 

口 序列 号 一 个 编号 ，TCP 用 来 将 数据 按 正 确 的 顺序 重新 排列 ( 称 为 排序 )、 重 传 丢 失 或 受 损 的 
数据 。 
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口 确认 号 ”TCP 期 待 接 下 来 收 到 的 数据 段 。 
口 报头 长 度 TCP 报头 的 长 度 ， 以 32 位 字 为 单位 。 它 指出 了 数据 的 开始 位 置 ，TCP 报头 的 长 度 
为 32 位 的 整数 倍 ， 即 使 包含 选项 时 亦 如 此 。 
口 保留 ”总 是 设置 为 零 。 
口 编码 位 /标志 ”用 于 建立 和 终止 会 话 的 控制 功能 。 
口 窗口 大 小 ”发 送 方 愿意 接受 的 窗口 大 小 ， 单 位 为 字 节 。 
口 校 验 和 ”CRC ( Cyclic Redundancy Check， 循环 宛 余 校 验 )， 由 于 TCP 不 信任 低层 ， 因 此 检 
查 所 有 数据 。CRC 检查 报头 和 数据 字段 。 
口 紧急 仅 当 设置 了 编码 位 中 的 紧急 指针 字段 时 ， 该 字段 才 有 效 。 如 果 设 置 了 紧急 指针 ， 该 字 
段 表 示 非 紧急 数据 的 开头 位 置 相 对 于 当前 序列 号 的 偏 移 量 ， 单 位 为 字 节 。 
口 选项 长 度 为 0 或 32 位 的 整数 倍 。 也 就 是 说 ， 没 有 选项 时 ， 长 度 为 0。 然而， 如果 包含 选项 
时 导致 该 字段 的 长 度 不 是 32 位 的 整数 倍 , 必须 填充 零 ,以 确保 该 字段 的 长 度 为 32 位 的 整数 倍 。 
口 数据 ”传递 给 传输 层 的 TCP 协议 的 信息 ， 包 括 上 层 报头 。 
下 面 来 看 一 个 从 网 络 分 析 器 中 复制 的 TCP 数据 段 : 
TCP - Transport Control Protocol 
Source Port: 5973 
Destination Port: 23 
Sequence Number: 1456389907 


Ack Number: 1242056456 
Offset: 5 
Reserved: %000000 
Code: %011000 


Ack Ts valid 
Push Request 
Window: 61320 
Checksum: 0x61a6 
Urgent Pointer : 0 
No TCP Options 
TCP Data Area: 
VL.5.+.5.+.5.+.5 76 4c 19 35 11 2b 19 35 11 2b 19 35 11 
2b 19 35 +. 11 2b 19 
Frame Check Sequence: OxOd00000f 
你 注意 到 前 面 讨论 的 数据 段 中 的 各 项 内 容 了 吗 ? 从 报头 包含 的 字段 数量 可 知 ，TCP 的 开销 很 大 。 
为 节省 开销 ， 应 用 程序 开发 人 员 可 能 优先 考虑 效率 而 不 是 可 靠 性 ， 因 此 作为 一 种 替代 品 ， 在 传输 层 还 
定义 了 UDP。 
2. UDP | 
如 果 将 UDP 与 TCP 进行 比较 ， 你 将 发 现 前 者 基本 上 是 一 个 简化 版 ， 有 时 称 为 瘦 协 议 。 与 公园 长 
党 上 的 瘦 子 一 样 ， 瘦 协议 占用 的 空间 不 大 一 一 在 网 络 中 占用 的 带宽 不 多 。 
UDP 未 提供 TCP 的 全 部 功能 ， 但 对 于 不 需要 可 靠 传输 的 信息 ， 它 在 传输 信息 方面 做 得 相当 好 ， 
且 占 用 的 网 络 资源 更 少 。( RFC 768 详细 介绍 了 UDP。 ) 
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在 有 些 情 况 下 ,开发 人 员 选 择 UDP 而 不 是 TCP 是 绝对 明智 的 ， 例 如 当 进 程 /应 用 层 已 确保 了 可 靠 
性 时 。NFS (Network File System， 网 络 文件 系统 ) 处 理 了 自己 的 可 靠 性 问题 ， 这 使 得 使 用 TCP 既 不 
现实 也 多 余 。 但 归根 结 底 ， 使 用 UDP 还 是 TCP 取决 于 应 用 程序 开发 人 员 ， 而 不 是 想 更 快 地 传输 数据 
的 用 户 。 

UDP 不 对 数据 段 排 序 ， 也 不 关心 数据 段 到 达 目 的 地 的 顺序 。 相 反 ，UDP 将 数据 段 发 送出 去 后 就 
不 再 管 它们 了 。 它 不 检查 数据 段 ， 也 不 支持 表示 安全 到 达 的 确认 ， 而 是 完全 放手 。 有 鉴于 此 ，UDP 被 
称 为 不 可 靠 的 协议 。 这 并 不 意味 着 UDP 效率 低下 ， 而 只 意味 着 它 根 本 不 会 处 理 可 靠 性 问题 。 

另外 ，UDP 不 建立 虚 电 路 ， 也 不 在 发 送信 息 前 与 接收 方 联系 。 因 此 ， 它 也 被 称 为 无 连接 的 协议 。 
因为 假定 应 用 程序 会 使 用 自己 的 可 靠 性 方法 ， 所 以 UDP 不 使 用 。 这 给 应 用 程序 开发 人 员 在 开发 因 特 
网 协议 栈 时 提供 了 选择 机 会 : 使 用 TCP 确保 可 靠 性 ， 还 是 使 用 UDP 提高 传输 速度 。 

因此 ， 牢 记 UDP 的 工作 原理 至 关 重 要 ， 因 为 如 果 数 据 段 未 按 顺 序 到 达 (这 在 IP 网 络 中 很 常见 )， 
它们 将 被 按 收 到 的 顺序 传递 给 OSI (DoD ) 模型 的 下 一 层 ， 这 可 能 使 数据 极其 混乱 。 另 一 方面 ，TCP 
给 数据 段 排序 ， 以 便 能 够 按 正 确 的 顺序 重组 它们 ， 而 UDP 根本 没有 这 样 的 功能 。 

@ UDP 数据 段 的 格式 

图 3-5 清楚 地 表明 ，UDP 的 开销 明显 比 TCP 低 。 请 仔细 查看 该 图 ， 你 会 注意 到 UDP 在 其 格式 中 
既 没 有 使 用 窗口 技术 ， 也 没有 在 UDP 头 中 提供 确认 应 答 。 
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长 度 (16) 校 验 和 (16) 
数据 (如果 有 的 话 ) 


图 3-5 UDP 数据 段 


了 解 UDP 数据 段 中 的 每 个 字段 至 关 重要 ， 如 下 。 
口 源 端口 号 ”发送 主机 的 应 用 程序 的 端口 号 。 
口 目标 端口 号 ”目标 主机 上 被 请 求 的 应 用 程序 的 端口 号 。 
口 长 度 UDP 报头 和 UDP 数据 的 总 长 度 。 
日 校 验 和 UDP 报头 和 UDP 数据 的 校 验 和 。 
口 数据 上 层 数据 。 
与 TCP 一 样 , UDP 也 不 信任 低层 操作 并 运行 自己 的 CRC。 还 记得 吗 , CRC 结果 存储 在 FCS( Frame 
Check Sequence， 帧 校 验 序列 ) 字段 中 ， 这 就 是 你 能 够 看 到 FCS 信息 的 原因 。 
下 面 是 网 络 分 析 器 捕获 的 一 个 UDP 数据 段 : 
UDP - User Datagram Protocol 
Source Port: 1085 
Destination Port: 5136 
Length: 41 
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Checksum: Ox7a3c 
UDP Data Area: 
人 00 01 5a 96 00 01 00 00 00 00 00 11 0000 00 


.CC..2._C.C 2e 03 00 43 02 le 32 0a 00 0a 00 80 43 00 80 

Frame Check Sequence: 0x00000000 

注意 ， 开 销 很 低 ! 请 尝试 在 UDP 数据 段 中 寻找 序列 号 、 确 认 号 和 和 窗口 大 小 。 你 找 不 到 ， 因 为 它 
们 根本 就 不 存在 ! 

3. 有 关 主 机 到 主机 层 协议 的 重要 概念 

介绍 面向 连接 的 协议 (TCP ) 和 无 连接 协议 (UDP ) 后 ， 有 必要 对 它们 做 一 下 总 结 。 表 3-1 列 出 
了 一 些 有 关 这 两 种 协议 的 重要 概念 ， 你 应 牢记 在 心 。 


表 3-1 TCP 和 UDP 的 重要 特征 


TCP UDP 
排序 不 排序 
可 靠 不 可 车 
面向 连接 无 连接 
虚 电 路 低 开 销 
确认 不 确认 
使 用 窗口 技术 控制 流量 不 使 用 窗口 技术 或 其 他 流量 控制 方式 


让 我 们 用 打 电 话 的 例子 帮助 你 理解 TCP 的 工作 原理 。 大 多 数 人 都 知道 , 用 电话 与 人 通话 前 , 必须 
首先 建立 到 对 方 的 连接 一 一 不 管 对 方 在 什么 地 方 。 这 类 似 于 TCP 协议 使 用 的 虚 电 路 。 如 果 你 在 通话 期 
闻 给 对 方 提供 了 重要 信息 ， 你 可 能 会 问 “ 你 知道 了 吗 ? ”或 “你 明白 了 吗 ? ”这 相当 于 TCP 确认 一 一 
设计 它 旨 在 让 你 核实 。 打 电话 (尤其 使 用 手机 ) 时 ， 人 们 经 常会 问 “ 你 在 听 吗 ? ”并 说 “再 见 ” 等 词 
句 以 结束 通话 。TCP 也 执行 这 些 工 作 。 

相反 ,使 用 UDP 类 似 于 邮寄 明信片 。 此 时 ， 你 无 需 先 与 对 方 联系 ， 而 只 需 写 下 要 说 的 话 并 给 明 
信 片 写 上 地 址 ， 然 后 邮寄 出 去 。 这 类 似 于 UDP 的 无 连接 模式 。 由 于 明信片 上 的 话 并 非 生 死 依 关 ， 你 
不 需要 接收 方 进行 确认 。 同 样 ，UDP 也 不 涉及 确认 。 

来 看 另 一 张 图 ， 它 包含 TCP、UDP 及 其 应 用 ， 如 图 3-6 所 示 。 


应 用 层 Telnet TFTP | BootPS 


端口 号 


传输 层 


图 3-6 TCP 和 UDP 使 用 的 端口 号 
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4. 端口 号 : 
TCP 和 UDP 必须 使 用 端口 号 与 上 层 通信 ， 因 为 端口 号 跟踪 通过 网 络 同时 进行 的 不 同 会 话 。 源 端口 
号 是 源 主机 动态 分 配 的 , 其 值 不 小 于 1024。1023 及 更 小 的 端口 号 是 在 RFC 3232 ( 请 参阅 www.iana.org ) 
中 定义 的 ， 该 RFC 讨论 了 知名 端口 号 。 
对 于 使 用 的 应 用 程序 没有 知名 端口 号 的 虚 电 路 , 其 端口 号 将 依据 指定 范围 随机 分 配 。 在 TCP 数据 
段 中 ， 这 些 端口 号 标识 了 源 应 用 程序 ( 进程 ) 和 目标 应 用 程序 ( 进程 )。 
图 3-6 说 明了 TCP 和 UDP 如 何 使 用 端口 号 。 
对 可 使 用 的 各 种 端口 号 解释 如 下 : 
口 小 于 1024 的 端口 号 为 知名 端口 号 ， 是 在 RFC 3232 中 定义 的 ; 
口 上 层 使 用 1024 和 更 大 的 端口 号 建立 与 其 他 主机 的 会 话 , 而 在 数据 段 中 , TCP 和 UDP 将 它们 用 
作 源 端口 和 目标 端口 。 
接 下 来 的 几 节 ， 我 们 将 查看 显示 TCP 会 话 的 分 析 器 输出 。 
@ TCP 会 话 : 源 端 口 
下 面 是 我 的 分 析 器 软件 捕获 的 一 个 TCP 会 话 : 
TCP - Transport Control] Protocol 
Source Port: 5973 
Destination Port: 23 
Sequence Number: 1456389907 


Ack Number: 1242056456 
Offset: 5 
Reserved: %000000 
Code: %011000 


Ack 1s valid 

Push Request 
Window: 61320 
Checksum: 0x61a6 
Urgent Pointer: 0 


No TCP Options 
TCP Data Area: 


vL.5.+.5.+.5.+.5 76 4c 19 35 11 2b 19 35 11 2b 19 35 11 
2b 19 35 +. 11 2b 19 

Frame Check Sequence: 0x0d00000f 

注意 , 源 主机 选择 了 一 个 端口 号 , 这 里 为 5973。 目 标 端口 号 为 23， 它 用 于 将 连接 的 目的 ( Telnet ) 
告知 接收 主机 。 

通过 查看 该 会 话 可 知 , 源 主机 从 范围 1024 ~65 535 中 选择 一 个 源 端 口 , 但 它 为 何 要 这 样 做 呢 ? 旨 
在 区 分 与 不 同 主机 建立 的 会 话 。 如 果 发 送 主机 不 使 用 不 同 端口 号 ， 服 务 器 如 何 知 道 信息 来 自 何方 呢 ? 
数据 链 路 层 和 网 络 层 协议 分 别 使 用 硬件 地 址 和 逻辑 地 址 标识 发 送 主机 ， 但 TCP 和 上 层 协 议 不 这 样 做 ， 
它们 使 用 端口 号 。 

@ TCP 会话: 目标 端口 

查看 分 析 器 的 输出 时 , 你 有 时 会 发 现 只 有 源 端口 号 大 于 1024, 而 目标 端口 号 为 知名 端口 号 ， 如 下 
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所 示 : 
TCP - Transport Control Protocol 
Source Port: 1144 
Destination Port: 80 Worid Wide Web HTTP 
Sequence Number: 9356570 


Ack Number: 0 
Offset: 7 
Reserved: %000000 
Code: %000010 
Synch Sequence 
Window: 8192 
Checksum: Ox57E7 


Urgent Pointer: 0 
TCP Options: 
Option Type: 2 Maximum Segment Size 
Length: 4 
MSS: 536 
Option Type: 1 No Qperation 
Option Type: 1 No Operation 
Option Type: 4 
Length: 2 
Opt Value: 
No More HTTP Data 
Frame Check Sequence: 0x43697363 
毫 无 疑问 ， 源 端口 号 大 于 1024, 但 目标 端口 号 为 80 ( HTTP 服务 )。 必 要 时 ， 服 务 器 ( 接收 主机 ) 
将 修改 目标 端口 号 。 
在 上 述 输出 中 ,一 个 syn( 同步 ) 分 组 被 发 送 给 了 目标 设备 ， 这 告诉 远程 目标 设备 ， 它 想 建立 一 
个 会 话 。 
@ TCP 会 话 : 对 同步 分 组 的 确认 
下 面 的 输出 是 对 同步 分 组 的 确认 : 
TCP - Transport Control Protocol 
Source Port: 80 World Wide Web HTTP 
Destination Port: 1144 
Sequence Number: 2873580788 


Ack Number: 9356571 
Offset : 6 

Reserved : %000000 
Code: %010010 


Ack 75 valid 
Synch Sequence 
Window: 8576 
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Checksum: Ox5F85 
Urgent Pointer: 0 
TCP Options: 
Option Type: 2 Maximum Segment Size 
Length: 4 
MSS: 1460 
No More HTTP Data 
Frame Check Sequence: 0x6E203132 


注意 ， 其 中 包含 Ack is valid， 这 表明 目标 设备 接受 了 源 端 口 ， 并 同意 建立 一 条 到 源 主机 的 虚 
电路 。 

同样 ， 服 务 器 的 响应 表明 源 端口 号 为 80， 而 目标 端口 号 为 源 主机 发 送 的 1144。 

表 3-2 列 出 了 TCP/IP 协议 簇 常用 的 应 用 程序 、 它 们 的 知名 端口 号 以 及 它们 使 用 的 传输 层 协 议 。 请 
务必 研究 并 牢记 该 表 ， 这 很 重要 。 


表 3-2 使 用 TCP 和 UDP 的 重要 协议 


TCP UDP 
Telnet 23 SNMP 161 
SMTP 25 TFTP 69 
HTTP 80 DNS 53 
FTP 20、 21 BooTPS/DHCP 67 
DNS 53 
HTTPS 443 
SSH 22 
POP3 110 
NTP 123 
IMAP4 143 


注意 ，DNS 可 使 用 TCP 和 UDP， 具 体 使 用 哪个 取决 于 要 做 什么 。 虽 然 它 并 非 使 用 这 两 种 协议 的 
唯一 一 种 应 用 程序 ， 但 你 必须 记 住 它 。 


让 TCP 可 靠 的 是 排序 、 确 认 和 流量 控制 (窗口 技术 ); UDP 不 可 靠 。 
注意 


3.2.3 ”因特网 层 协议 


在 DoD 模型 中 ， 因 特 网 层 的 作用 有 两 个 : 路 由 选择 以 及 提供 单个 到 上 层 的 网 络 接口 。 

其 他 层 的 协议 都 没有 提供 与 路 由 选择 相关 的 功能 ， 这 个 复杂 而 重要 的 任务 完全 由 因特网 层 完成 。 
因特网 层 的 第 二 项 职责 是 提供 单个 到 上 层 协 议 的 网 络 接口 。 如 果 没 有 这 一 层 ， 应 用 程序 开发 人 员 将 需 
要 在 每 个 应 用 程序 中 编写 到 各 种 网 络 接 人 协议 的 “钩子 ”。 这 不 仅 麻 烦 ， 还 将 使 应 用 程序 需要 有 多 个 
版 本 一 一 以 太 网 版 本 、 无 线 版 本 等 。 为 避免 这 个 问题 ， 卫 提供 了 单个 到 上 层 协议 的 网 络 接口 。 这 样 ， 
IP 将 和 各 种 网 络 接 入 协议 协同 工作 。 

在 网 络 中 ， 并 非 条 条 道路 通 罗 马 ， 而 是 条 条 道路 通 卫 ， 因 特 网 层 以 及 上 层 的 所 有 协议 都 使 用 卫 ， 


3.2 ” TCP/IP 和 DoD 模型 75 


千 万 不 要 忘记 这 一 点 。 在 DoD 模型 中 ， 所 有 路 径 都 穿越 耻 。 接 下 来 的 几 节 将 介绍 因特网 层 协议 ; 

口 因特网 协议 (IP ); 

口 因特网 控制 消息 协议 (ICMP ); 

口 地 址 解析 协议 (ARP ); 

口 逆向 地 址 解析 协议 《RARP ); 

口 代理 ARP; 

口 免费 ARP。 

1.1IP 

IP (Interet Protocol， 因 特 网 协议 ) 就 相当 于 因特网 层 ， 该 层 的 其 他 协议 都 只 是 为 它 提供 支持 。 
IP 掌控 全 局 ， 可 以 说 “一 切 尽 收 它 眼底 ”， 从 这 种 意义 上 说 ， 它 了 解 所 有 互联 的 网 络 。 它 之 所 以 能 够 
这 样 ， 是 因为 网 络 中 的 所 有 机 器 都 有 一 个 软件 (逻辑 ) 地 址 ， 这 种 地 址 称 为 PP 地址 ,本章 后 面 将 更 详 
细 地 介绍 它 。 

IP 查看 每 个 分 组 的 地 址 , 然后 使 用 路 由 选择 表 判 断 接 下 来 应 将 分 组 发 送 到 哪里 ， 从 而 选择 最 佳 路 
径 。 在 DoD 模型 底部 的 网 络 接 入 层 协 议 不 像 下 那样 胸怀 整个 网 络 , 它们 只 处 理 物理 链 路 ( 本 地 网 络 )。 

要 标识 网 络 中 的 设备 ， 需 要 回答 两 个 问题 : 设备 位 于 哪个 网 络 中 ? 它 在 该 网 络 中 的 ID 是 多 少 ? 
对 于 第 一 个 问题 ， 答 案 是 软件 (还 辑 ) 地 址 (正确 的 街道 ) 对 于 第 二 个 问题 ， 答 案 是 硬件 地 址 ( 正 
确 的 邮箱 )。 网 络 中 的 所 有 主机 都 有 一 个 逻辑 一 ， 称 为 下 地 址 ， 它 属于 软件 ( 逻辑 ) 地 址 ,包含 宝贵 
的 编码 信息 ， 极 大 地 简化 了 路 由 选择 这 种 复杂 的 任务 。( RFC 791 讨论 了 下。) 

IP 接收 来 自主 机 到 主机 层 的 数据 段 ， 并 在 必要 时 将 其 划分 成 数据 报 ( 分 组 )。 在 接收 端 ，IP 将 数 
据 报 重 组 成 数据 段 。 每 个 数据 报 都 包含 发 送 方 和 接收 方 的 全 地 址 , 路 由 器 (第 3 层 设备 ) 收 到 数据 报 
后 ， 将 根据 分 组 的 目标 IP 地址 做 出 路 由 选择 决策 。 

3-7 显示 了 了 P 报 头 , 这 可 让 你 对 如 下 方面 有 大 概 认识 : 每 当 上 层 发 送 用 户 数据 时 ,IP 协议 都 将 
如 何 做 ， 为 将 数据 发 送 到 远程 网 络 做 好 准备 。 
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wd Go) 


， 数据 ( 变 长 ) 


图 3-7 了 下 报头 
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IP 报头 包含 如 下 字段 。 

口 版 本 下 版 本 号 。 

口 报头 长 度 ”报头 的 长 度 ， 单 位 为 32 位 字 。 

口 优先 级 和 服务 类 型 ”服务 类 型 指出 应 如 何 处 理 数据 报 。 前 3 位 为 优先 级 位 ， 当 前 称 为 区 分 服 
务 位 。 

口 总 长 度 ”整个 分 组 的 长 度 ， 包 括 报 头 和 数据 。 

口 标识 ”唯一 的 全 分 组 值 ， 用 于 区 分 不 同 的 数据 报 。 

口 标志 指出 是 否 进 行 了 分 段 。 

口 分 段 偏 移 ”在 分 组 太 大 ， 无 法 放 人 一 个 帧 中 时 ， 提 供 了 分 段 和 重组 功能 。 它 还 使 得 因特网 上 
可 有 不 同 的 MTU (Maximum Transmission Unit， 最 大 传输 单元 )。 

口 存活 时 间 ”生成 分 组 时 给 它 指定 的 存活 时 间 。 如 果 分 组 到 达 目 的 地 之 前 TIL 就 已 到 期 ,分 组 
将 被 丢弃 。 这 可 避免 瑟 分 组 因 寻 找 目的 地 不 断 在 网 络 中 传输 。 

口 协议 ”上层 协议 的 端口 (TCP 为 端口 6，UDP 为 端口 7 )。 还 支持 网 络 层 协议 ， 如 ARP 和 
ICMP (在 有 些 分 析 器 中 ， 该 字段 称 为 类 型 字段 )。 稍 后 我 们 将 更 详细 地 讨论 该 字段 。 

口 报头 校 验 和 ”对 报头 执行 CRC 的 结果 。 

口 源 IP 地址 发 送 方 的 32 位 IP 地 址 。 

口 目标 IP 地 址 接收 方 的 32 位 下 地 址 。 

口 选项 ”用 于 网 络 测试 、 调 试 、 安 全 等 。 

口 数据 ”位 于 选项 字段 后 ， 为 上 层 数据 。 

下 面 是 网 络 分 析 器 捕获 的 一 个 下 分 组 。 注意， 其 中 包含 前 面 讨论 的 所 有 报头 信息 。 


IP Header - Internet Protocol Datagram 


Version: 4 

Header Length: 5 
Precedence: 0 

Type of Service : %000 
Unused : %00 

Total Length: 187 
Identifier: 22486 
Fragmentation Flags: %010 Do Not Fragment 
Fragment Offset: 0 

Time To Live: 60 

IP Type: Ox06 TCP 
Header Checksum: Oxd031 
Source IP Address: 10.7.1.30 
Dest. IP Address: 10.7.1.10 


No Internet Datagram Options 
类 型 (Type ) 字段 很 重要 ， 该 字段 通常 为 协议 字段 ， 但 这 个 分 析 器 将 其 视 为 耻 Type 字段 。 如 果 
报头 没有 包含 有 关 下 一 层 的 协议 信息 ,IP 将 不 知道 如 何 处 理 分 组 中 的 数据 。 在 前 面 的 示例 中 ， 类 型 字 
段 告诉 IP 将 数据 段 交 给 TCP。 
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图 3-8 说 明了 在 网 络 层 需要 将 分 组 交 给 上 层 协议 时 ， 它 如 何 获悉 传输 层 使 用 的 协议 。 


传输 层 TCP 


图 3-8 ”IP 报头 中 的 协议 字段 


在 这 个 示例 中 , 协议 字段 告诉 他 将 数据 发 送 到 TCP 端口 6 或 UDP 端口 17。 然 而, 如 果 数 据 是 发 
送 给 上 层 服务 或 应 用 程序 的 , 将 要 么 是 UDP, 要 么 是 TCP。 数据 也 可 能 是 发 送 给 因特网 控制 消息 协议 
(ICMP )、 地 址 解析 协议 (ARP ) 或 其 他 类 型 的 网 络 层 协议 的 。 

表 3-3 列 出 了 其 他 一 些 可 能 在 协议 字段 中 指定 的 常见 协议 。 


表 3-3 ”可 能 在 IP 报 头 的 协议 字段 中 指定 的 协议 


协 议 协 议 号 
ICMP 1 
IP inIP〈 隧道 技术 ) 4 
TCP 6 
IGRP 9 
UDP 17 
EIGRP 88 
OSPF 89 
IPv6 41 
GRE 47 
第 2 层 隧道 (L2TP ) 115 


有 关 协 议 字 段 可 包含 的 协议 号 完整 列表 ， 请 参阅 www.iana.org/assignments/ 


注意 protocol-numbers。 


2. ICMP 

ICMP ( Internet Control Message Protocol， 因 特 网 控制 消息 协议 ) 运行 在 网 络 层 ， 下 使 用 它 来 获得 
众多 服务 。ICMP 是 一 种 管理 协议 , 为 IP 提供 消息 收发 服务 ， 其 消息 是 以 了 P 数据 报 的 形式 传输 的 。 
RFC 1256 是 一 个 ICMP 附件 ， 给 主机 提供 了 发 现 前 往 网 关 的 路 由 的 功能 。 

ICMP 分 组 具有 如 下 特征 : 

口 可 向 主机 提供 有 关 网 络 故 障 的 信息 ; 

口 封装 在 下 数据 报 中 。 

下 面 是 一 些 与 ICMP 相关 的 常见 事件 和 消息 。 

口 目标 不 可 达 如果 路 由 器 不 能 再 向 前 转发 IP 数据 报 ， 它 将 使 用 ICMP 向 发 送 方 发 送 一 条 消 

息 ， 以 通告 这 种 情况 。 例 如 ， 如 图 3-9 所 示 ， 其 中 路 由 器 Lab_B 的 接口 E0 出 现 了 故障 。 
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路 由 器 Lab_B 的 接口 B0 出 现 了 故障 ， 而 主机 A 试图 与 主机 B 通信 ， 结 果 将 如 何 呢 ? 


Lab A Lab B 


主机 A 主机 B 
图 3-9 远程 路 由 器 向 发 送 主机 发 送 ICMP 错误 消息 


主机 A 将 分 组 发 送 给 主机 B 时，Lab B 路 由 器 将 向 主机 A 发 回 一 条 ICMP 目标 不 可 达 消息 。 

口 缓冲 区 已 满 ”如果 用 于 接收 数据 报 的 路 由 器 内 存 缓冲 区 已 满 ， 路 由 器 将 使 用 ICMP 发 送 这 种 
消息 ， 直 到 拥塞 解除 。 

口 超过 跳 数 /时 间 ”对 于 每 个 IP 数据 报 ， 都 指定 了 它 可 穿越 的 最 大 路 由 器 数量 ( 跳 数 )。 如 果 数 
据 报 还 未 达到 目的 地 就 达到 了 该 上 限 ， 最 后 一 台 收 到 该 数据 报 的 路 由 器 将 把 它 删 除 。 然 后 ， 
该 路 由 器 将 使 用 ICMP 发 送 一 条 让 告 ， 让 发 送 方 知道 其 数据 报 已 被 删除 。 

口 Ping Packet Intemet Groper ( Ping ) 使 用 ICMP 回应 请 求 和 应 答 消 息 ， 以 检查 互联 网 络 中 机 器 
的 物理 连接 性 和 逻辑 连接 性 。 

口 Traceroute Traceroute 使 用 ICMP 超时 来 发 现 分 组 在 互联 网 络 中 传输 时 经 过 的 路 径 。 


Ping 和 Traceroute (也 叫 Trace，Microsoft Windows 称 之 为 tracert ) 都 让 你 能 够 
注意 验证 互联 网 络 的 地 址 配置 。 


下 面 是 网 络 分 析 器 捕获 的 一 个 ICMP 回应 请 求 : 


Flags: Ox00 

Status: Ox00 

Packet Length: 78 

Timestamp: 14:04:25.967000 12/20/03 


Ethernet Header 

Destination: 00:a0:24:6e:0f:a8 
Source: 00:80:c7:a8:f0:3d 
Ether-Type: 08-00 IP 

IP Header - Internet Protocol Datagram 
Version: 4 


Header Length : 
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Precedence: 0 

Type of Service: %000 

Unused: %00 

Total Length: 60 
Identifier: 56325 

Fragmentation Flags: %000 

Fragment Offset: 0 

Time To Live: 32 

IP Type: Ox01 ICMP 

Header Checksum: Ox2df0 


Source IP Address: 
Dest. IP Address: 


100.100.100.2 
100.100.100.1 
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No Internet Datagram Options 
ICMP - Internet Control Messages Protocol 


ICMP Type: 8 Echo Request 
Code: 0 

Checksum: Ox395c 
Identifier: 0x0300 


Sequence Number: 4352 
ICMP Data Area: 
abcdefghijklmnop 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 
qrstuvwabcdefghi 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 
Frame Check Sequence: 0x00000000 
注意 ， 其 中 有 什么 异常 的 地 方 了 吗 ? 虽然 ICMP 运行 在 因特网 ( 网 络 ) 层 ， 它 仍 使 用 IP 来 发 出 
Ping 请 求 ， 你 注意 到 这 一 点 了 吗 ? 在 中 报头 中 ， 类 型 字段 的 值 为 0x01， 这 表明 数据 报 中 的 数据 属于 
ICMP 协议 。 别 忘 了 ， 条 条 道路 通 罗 马 ， 同 样 ， 所 有 数据 段 或 数据 都 必须 通过 全 传送 。 


在 分 组 的 数据 部 分 ， 程序 Ping 将 字母 用 作 有 效 负载 ， 且 有 效 负载 通常 默认 为 约 


注意 ”100B。 当 然 ， 如果 从 Windows 主机 执行 Ping 操作 ， 它 将 认为 字母 表 在 W 处 结束 ， 
而 不 使 用 义 、Y 和 Z， 因 此 到 达 这 种 字母 表 末 尾 后 ， 将 从 A 重新 开始 。 你 可 以 验证 


这 一 点 o 


如 果 你 阅读 了 第 2 章 有 关 数 据 链 路 层 和 各 种 帧 的 内 容 ， 将 能 通过 前 面 的 输出 获悉 使 用 的 是 哪 种 以 
太 网 帧 。 其 中 只 显示 了 字段 目标 硬件 地 址 、 源 硬件 地 址 和 以 太 类 型 ( Ether-Type )， 而 只 有 Ethermet 开 
帧 使 用 以 太 网 类 型 字段 。 

在 深入 介绍 ARP 协议 前 ， 我 们 来 看 看 ICMP 的 另 一 种 用 途 。 图 3-10 显示 了 一 个 互联 网 络 ( 它 包 
含 一 台 路 由 器 ， 因 此 是 互联 网 络 )。 

Serverl ( 10.1.2.2 ) 在 DOS 提示 符 模式 下 远程 登录 到 10.1.1.5， 你 认为 Serverl 将 收 到 什么 样 的 响 
应 呢 ? 由 于 Serverl 将 把 Telnet 数据 发 送 到 默认 网 关 〈 这 是 一 台 路 由 器 )， 后 者 将 丢弃 该 分 组 ， 因 为 其 
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路 由 选择 表 中 没有 网 络 10.1.1.0。 因 此 ，Serverl 将 收 到 ICMP 目标 不 可 达 消 息 。 


10.1.5.2/24 


10.1.5.23/24 


| 时] 
下 一 
Serverl 
10.1.2.2/24 
| 10.1.4.2/24 
图 3-10 ICMP 


3. ARP 


ARP ( Address Resolution Protocol， 地 址 解析 协议 ) 根据 已 知 的 人 PP 地址 查找 主机 的 硬件 地 址 ， 其 
工作 原理 如 下 : TP 需要 发 送 数据 报时 ， 它 必须 将 目标 端的 硬件 地 址 告知 网 络 接 入 层 协 议 ， 如 以 太 网 或 
无 线 。( 上 层 协议 已 经 将 目标 端的 IP 地址 告诉 它 。) 如 果 下 在 ARP 缓存 中 没有 找到 目标 主机 的 硬件 地 


址 ， 它 将 使 用 ARP 获悉 这 种 信息 。 


作为 人 P 的 侦探 ，ARP 这 样 询问 本 地 网 络 : 发 送 广播 ， 要 求 有 特定 人 P 地 址 的 机 器 使 用 其 硬件 地 址 
进行 应 答 。 因 此 ，ARP 基本 上 是 将 软件 (IP ) 地 址 转换 为 硬件 地 址 ， 如 目标 主机 的 以 太 网 网 卡 地 址 ， 


然后 通过 广播 获悉 该 地 址 在 LAN 中 的 位 置 。 图 3-11 显示 了 本 地 网 络 中 的 ARP。 


我 需要 10.1.1.2 的 
以 太 网 地 址 


我 侦 听 到 了 广播 ， 
这 条 消息 是 给 我 的 ， 
这 是 我 的 以 太 网 地 址 
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ARP 将 IP 地址 解析 为 以 太 网 (MAC ) 地 址 。 


下 面 的 输出 表示 一 个 ARP 广播 。 注意 ， 由 于 不 知道 目标 硬件 地 址 ， 因 此 将 其 十 六 进 制 表示 设置 
为 全 五 (二进制 表示 全 为 1 )， 这 是 一 个 硬件 地 址 广播 : 


Flags: Ox00 

Status: 0x00 

Packet Length: 64 

Timestamp : 09:17:29.574000 12/06/03 


Ethernet Header | 
Destination: FF:FF:FF:FF:FF:FF Ethernet Broadcast 
Source: 00:A0:24:48:60:A5 
Protocol Type: Ox0806 IP ARP 
ARP - Address Resolution Protocol 
Hardware : 1 Ethernet (10Mb) 
Protocol: Ox0800 IP 
Hardware Address Length: 6 
Protocol Address Length: 4 
Operation: 1 ARP Request 
Sender Hardware Address: 00:A0:24:48:60:A5 
Sender Internet Address: 172.16.10.3 
Target Hardware Address: 00:00:00:00:00:00 (ignored) 
Target Internet Address: 172.16.10.10 
Extra bytes (Padding): 
da OA OA OA OA OA OA OA OA OA OA OA OA OA 
OA OA OA OA OA 
Frame Check Sequence: 0x00000000 
4. RARP 
如 果 IP 主机 为 无 盘 计算 机 ， 一 开始 它 不 知道 自己 的 IP 地 址 ， 但 知道 自己 的 MAC 地 址 。 无 盘 机 
器 可 使 用 如 图 3-12 所 示 的 RARP ( Reverse Address Resolution Protocol， 逆 向 地 址 解析 协议 ) 来 获悉 其 
IP 地 址 ， 这 是 通过 发 送 一 个 分 组 实现 的 ， 该 分 组 包含 无 盘 计 算 机 的 MAC 地 址 和 一 个 请 求 〈 请 求 提供 
分 配给 该 MAC 地 址 的 下 地 址 )。 名 叫 RARP 服务 器 的 专用 机 器 将 对 此 作出 响应 ， 从 而 解决 身份 危机 。 
RARP 使 用 它 知道 的 信息 〈 即 机 器 的 MAC 地 址 ) 来 获悉 机 器 的 他 地址， 从 而 完成 身份 标识 。 


RARP 将 以 太 网 (MAC ) 地 址 解析 为 下 地址 。 
注意 
5. 代理 ARP 
在 网 络 中 ， 我 们 不 能 给 主机 配置 多 个 默认 网 关 。 请 想 一 想 ， 如 果 默 认 网 关 (路 由 器 ) 发 生 故 障 ， 
结果 将 如 何 呢 ? 主机 不 能 自动 将 数据 发 送 给 另 一 台 路 由 器 ， 而 你 必须 重新 配置 主机 。 但 代理 ARP 可 
帮助 主机 前 往 远 程 子 网 ， 而 无 需 配 置 路 由 选择 甚至 默认 网 关 。 
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我 侦 听 到 了 该 广 
播 ,你 的 IP 地 址 是 
192.168.10.3 


我 的 下 地 址 是 多 少 ? 


Ethernet: 4523.7985.7734 IP = 222? 


Ethernet: 45:AC:24:E3:60:A5 


IP: 192.168.10.3 


图 3-12 RARP 广播 示例 


使 用 代理 ARP 的 优点 之 一 是 ,我们 可 在 网 络 中 的 一 台 路 由 器 上 启用 它 ， 而 不 影响 网 络 中 其 他 路 
由 器 的 路 由 选择 表 。 然 而 ， 使 用 代理 ARP 也 存在 一 个 严重 的 缺陷 : 使 用 代理 ARP 将 增加 网 段 中 的 流 
量 ， 而 为 处 理 所 有 的 IP 地 址 到 MAC 地 址 的 映射 ， 主 机 的 ARP 表 比 通常 情况 下 大 。 默 认 情 况 下 ， 所 
有 思科 路 由 器 都 配置 了 代理 ARP， 如 果 你 认为 自己 不 会 使 用 它 ， 应 将 其 禁用 。 

有 关 代 理 ARP 的 最 后 一 点 是 ， 代 理 ARP 并 非 一 种 独立 的 协议 ， 而 是 路 由 器 代表 其 他 设备 ( 通常 
是 PC ) 运行 的 一 种 服务 ， 路 由 器 禁止 这 些 设备 查询 远程 设备 ， 虽 然 在 这 些 设备 看 来 ， 它 们 与 远程 设 
备 位 于 同一 个 子 网 中 。 

这 让 路 由 器 能 够 在 响应 ARP 查 询 时 提供 自己 的 MAC 地 址 ,从 而 将 远程 下 地 址 解析 为 有 效 的 MAC 
地 址 。 


如 果 预 算 允 许 ， 你 应 使 用 思科 的 HSRP ( Hot Standby Router Protocol， 热 备份 路 
提示 。 由 器 协议 )。 这 意味 着 你 必须 购买 多 台 思 科 设 备 , 但 很 值得 这 样 做 。 有 关 HSRP 的 更 
详细 信息 ， 请 参阅 思科 网 站 。 


3.3 ”IP 编 址 


讨论 TCP/IP 时 , IP 编 址 是 最 重要 的 主题 之 一 。IP 地 址 是 分 配给 卫 网 络 中 每 台 机 器 的 数字 标识 符 ， 
它 指出 了 设备 在 网 络 中 的 具体 位 置 。 

IP 地 址 是 软件 地 址 ， 而 不 是 硬件 地 址 。 硬 件 地 址 被 硬 编码 到 网 络 接口 卡 (NIC ) 中 ， 用 于 在 本 地 
网 络 中 寻找 主机 。IP 地 址 让 一 个 网 络 中 的 主机 能 够 与 另 一 个 网 络 中 的 主机 通信 ， 而 不 管 这 些 主机 所 属 
的 LAN 是 什么 类 型 的 。 

介绍 让 编 址 的 更 复杂 内 容 前 ， 读 者 需要 了 解 一 些 基 础 知识 。 为 此 ， 我 将 首先 介绍 一 些 人 P 编 址 基 
本 知识 和 相关 的 术语 ， 然 后 阐述 层次 型 IP 编 址 方案 和 私有 IP 地 址 。 


3.3.1 IP 术语 
在 本 章 中 ， 你 将 学 习 多 个 术语 ， 它 们 对 理解 因特网 协议 至 关 重要 。 下 面 列 出 其 中 的 几 个 。 
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口 比特 ”一 个 比特 相当 于 一 位 ， 其 取 值 为 1 或 0。 

口 字 节 1 B 为 7 或 8 位 ,这 取决 于 是 否 使 用 奇偶 校 验 。 在 本 章 余下 的 篇 幅 中 ， 我们 都 假定 1 B 
为 8 位 。 

口 八 位 组 〈Octet) ”由 8 位 组 成 ， 是 普通 的 8 位 二 进 制 数 。 在 本 章 中 ， 术 语 字 节 和 入 位 组 可 互 
换 使 用 。 

口 网 络 地 址 ”在 路 由 选择 中 ， 使 用 它 将 分 组 发 送 到 远程 网 络 ， 如 10.0.0.0、172.16.0.0 和 192.168.0.0。 

口 广播 地 址 ”应 用 程序 和 主机 用 于 将 信息 发 送 给 网 络 中 所 有 节点 的 地 址 ， 这 样 的 例子 包括 : 
255.255.255.255， 表示 所 有 网 络 中 的 所 有 节点 ; 172.16.255.255 ,表示 网 络 172.16.0.0 中 的 所 有 
子 网 和 主机 ; 10.255.255.255， 表 示 网 络 10.0.0.0 中 的 所 有 子 网 和 主机 。 


3.3.2 ”层次 型 IP 编 址 方案 


IP 地址 长 32 位 , .这些 位 被 划分 成 4 组 ( 称 为 字 节 或 八 位 组 )， 每 组 8 位。 我 们 可 使 用 下 面 3 种 方 
法 描述 IP 地 址 : 

口 点 分 十 进 制 表示 ， 如 172.16.30.56。 

口 二 进 制 ， 如 10101100.00010000.00011110.00111000。 

口 十 六 进 制 ， 如 AC.10.1E.38。 

上 述 示例 表示 的 是 同一 个 IP 地 址 。 讨 论 IP 编 址 时 ， 十 六 进 制 表示 没有 点 分 十 进 制 和 二 进 制 那样 
常用 ， 但 某 些 程序 确实 以 十 六 进 制 形式 存储 下 地 址 ，Windows 注册 表 就 将 机 器 的 IP 地 址 存储 为 十 六 
进 制 。 

32 位 的 IP 地 址 是 一 种 结构 化 (层次 型 ) 地 址 ， 而 不 是 平面 或 非 层 次 型 地 址 。 虽 然 这 两 种 编 址 方 
案 都 可 使 用 ， 但 对 于 选择 层次 型 编 址 方案 我 们 有 充分 的 理由 。 这 种 方案 的 优点 在 于 ， 它 可 处 理 大 量 的 
地 址 ， 具 体 地 说 是 43 亿 (在 32 位 的 地 址 空间 中 ， 每 位 都 有 0 或 1 这 两 种 可 能 的 取 值 ， 因 此 支持 2 
个 地 址 ， 即 4294 967 296 个 )。 平 面 编 址 方案 的 缺点 与 路 由 选择 相关 ， 这 也 是 没有 将 其 用 于 IP 编 址 的 
原因 。 如 果 每 个 地 址 都 是 唯一 的 ， 因 特 网 上 的 路 由 器 将 需要 存储 所 有 机 器 的 地 址 ， 这 使 得 几乎 无 法 进 
行 高 效 的 路 由 选择 ， 即 使 只 使 用 部 分 可 能 的 地 址 亦 如 此 。 

对 于 这 种 问题 ， 解 决 方案 是 使 用 包含 2 层 或 3 层 的 层次 型 编 址 方案 ， 即 地 址 由 网 络 部 分 和 主机 部 
分 组 成 ， 或 者 由 网 络 部 分 、 子 网 部 分 和 主机 部 分 组 成 。 

使 用 2 层 或 3 层 的 编 址 方案 时 ， 卫 地 址 类 似 于 电话 号 码 : 第 一 部 分 是 区 号 ， 指 定 了 一 个 非常 大 的 
区 域 ; 第 二 部 分 是 前 级 ,将 范围 缩小 到 本 地 呼叫 区 域 ， 最 后 一 部 分 是 用 户 号 码 ， 将 范围 缩小 到 具体 的 
连接 。IP 地 址 使 用 类 似 的 分 层 结构 ， 与 平面 编 址 将 全 部 32 位 视 为 一 个 唯一 的 标识 符 不 同 ， 它 将 其 一 
部 分 作为 网 络 地 址 ， 另 一 部 分 作为 子 网 和 主机 部 分 或 节点 地 址 。 

接 下 来 的 几 节 将 讨论 IP 网 络 编 址 以 及 各 种 可 用 于 给 网 络 编 址 的 地 址 类 型 。 

1. 网 络 地 址 ， 

网 络 地 址 (也 叫 网 络 号 ) 唯一 地 标识 网 络 。 在 同一 个 网 络 中 , 所 有 机 器 的 IP 地 址 都 包含 相同 的 网 
络 地 址 。 例 如 ， 在 卫 地 址 172.16.30.56 中 ，172.16 为 网 络 地 址 。 

网 络 中 的 每 台 机 器 都 有 节点 地 址 , 节点 地 址 唯一 地 标识 了 机 器 。 这 部 分 PP 地 址 必须 是 唯一 的 , 因 
为 它 标识 特定 的 机 器 (个体 ) 而 不 是 网 络 ( 群体)。 这 一 编号 也 称 主机 地 址 。 在 IP 地 址 172.16.30.56 
中 ，30.56 为 节点 地 址 。 


84 第 3 章 TCP/IP 简介 


设计 因特网 的 人 决定 根据 网 络 规模 创建 网 络 类 型 。 对 于 少量 包含 大 量 节 点 的 网 络 ， 他 们 创建 了 和 A 
类 网 络 ; 对 于 另 一 种 极端 情况 的 网 络 ， 他 们 创建 了 C 类 网 络 ， 用 来 指示 大 量 只 包含 少量 节点 的 网 络 ; 
介 于 超大 型 和 超 小 型 网 络 之 间 的 是 B 类 网 络 。 

网 络 的 类 型 决定 了 IP 地 址 将 如 何 划分 成 网 络 部 分 和 节点 部 分 。 图 3-13 总 结 了 这 3 类 网 络 ， 本 章 
余下 的 篇 幅 将 非常 详细 地 讨论 这 个 主题 。 


8 位 8 位 8 位 8 位 
oa 


D 类 组 播 


A 类 


E 类 ”用 于 研究 
图 3-13 3 类 网 络 


为 确保 高 效 的 路 由 选择 ， 设 计 因 特 网 的 人 对 每 种 网 络 地 址 的 前 几 位 做 了 限制 。 例 如 ， 由 于 路 由 器 
知道 A 类 网 络 地 址 总 是 以 0 打头 ， 因 此 只 需 阅读 地 址 的 第 一 位 ， 从 而 提高 转发 分 组 的 速度 。 编 址 方案 
在 此 指出 了 A 类 、B 类 和 C 类 地 址 的 差别 。 在 接 下 来 的 几 节 中 , 我 将 首先 讲述 这 种 差别 ， 然 后 介绍 D 
类 和 了 类 地 址 。( 只 有 A 类 、B 类 和 C 类 地 址 可 用 于 给 网 络 中 的 主机 编 址 。) 

日 A 类 网 络 地 址 范围 

IP 编 址 方案 设计 师 指 出 ，A 类 网 络 地 址 的 第 一 个 字 节 的 第 一 位 必须 为 0， 这 意味 着 A 类 地 址 第 一 
个 字 节 的 取 值 为 0~127。 

请 看 下 面 的 网 络 地 址 : 


Oxxxxxxx 


如 果 将 余下 的 7 位 都 设置 为 0， 然 后 将 它们 都 设置 为 1， 我 们 便 可 获得 A 类 网 络 地 址 的 范围 : 

00000000 = 0 

01111111 = 127 

因此 ，A 类 网 络 地 址 第 一 个 字 节 的 取 值 范围 为 0~127 (但 0 和 127 不 是 有 效 的 A 类 网 络 地 址 号 。 
稍 后 我 将 介绍 保留 地 址 )。 

@ B 类 网 络 地 址 范围 

RFC 规定 ，B 类 网 络 地 址 的 第 一 个 字 节 的 第 一 位 必须 为 1， 且 第 二 位 必须 为 0。 如 果 将 余下 的 6 
位 全 部 设置 为 0， 再 将 它们 全 部 设置 为 1， 便 可 获得 B 类 网 络 地 址 的 范围 : 

10000000 = 128 

10111111 = 191 


正如 你 看 到 的 ，B 类 网 络 地 址 第 一 个 字 节 的 取 值 为 128 一 191。 


3.3 I 了 P 编 址 85 


@ C 类 网 络 地 址 范围 
RFC 规定 ，C 类 网 络 地 址 的 第 一 个 字 节 的 前 两 位 必须 为 1， 而 第 三 位 必须 为 0。 我 们 可 按 前 面 的 
方法 将 二 进 制 转换 为 十 进 制 ， 以 找 出 C 类 网 络 地 址 的 范围 : 


11000000 = 192 
11011111 = 223 
因此 ， 如 果 耳 地 址 以 192~223 打头 ,我 们 就 可 判定 它 是 C 类 下 地 址 。 图 
@ D 类 和 已 类 网 络 地 址 范围 
第 一 个 字 节 为 224 ~255 的 地 址 被 保留 用 于 D 类 和 EE 类 网 络 。D 类 (224 一 239 ) 用 作 组 播 地 址 ， 

而 E 类 (240 一 255 ) 用 于 科学 用 途 ， 但 本 书 不 会 深入 介绍 这 些 地 址 类 型 ， 你 也 不 需要 了 解 它们 。 

@ 具有 特殊 用 途 的 地 址 
有 些 卫 地址 被 保留 用 于 特殊 目的 ， 网 络 管理 员 不 能 将 它们 分 配给 节点 。 表 3-4 列 出 了 一 些 特殊 地 
址 以 及 将 其 用 于 特殊 目的 的 原因 。 


表 3-4 ”保留 的 iP 地 址 


地 址 功 能 
网 络 地 址 全 为 0 表示 当前 网 络 或 网 段 
网 络 地 址 全 为 1 表示 所 有 网 络 
地 址 127.0.0.1 保留 用 于 环 回 测试 。 表 示 当 前 节点 ， 让 节点 能 够 给 自己 发 送 测试 分 组 ， 而 不 会 生成 网 络 流量 
节点 地 址 全 为 0 表示 网 络 地址 或 指定 网 络 中 的 任何 主机 . 
节点 地 址 全 为 1 表示 指定 网 络 中 的 所 有 节点 。 例 如 ，128.2.255.255 表 示 网 络 128.2 ( B 类 地 址 ) 中 的 所 有 节点 


整个 了 地址 全 为 0 思科 路 由 器 用 它 来 指定 默认 路 由 ， 也 可 能 表示 任何 网 络 


整个 下 地 址 全 为 1 到 当前 网 络 中 所 有 节点 的 广播 ， 有 时 称 为 “全 1 广播 ”或 限定 广播 
( B255.255.255.255 ) 


2. A 类 地 址 

在 A 类 地 址 中 ， 第 一 个 字 节 为 网 络 地 址 ， 余 下 的 3 B 为 节点 地 址 。A 类 地 址 的 格式 如 下 : 

network. node.node.node 

例如 ， 在 IP 地 址 49.22.102.70 中 ，49 为 网 络 地 址 ，22.102.70 为 节点 地 址 。 在 该 网 络 中 ， 每 台 
器 的 网 络 地 址 都 为 49。 

A 类 网 络 地 址 长 1 B， 其 中 第 一 位 被 保留 余下 的 7 位 可 用 于 编 址 。 因 此 ， 最 多 可 以 有 128 个 A 
类 网 络 。 为 什么 呢 ? 因为 在 这 7 位 中 ， 每 位 的 可 能 取 值 都 为 0 或 1， 因 此 可 表示 27 (128 ) 个 网 络 。 

让 问题 更 复杂 的 是 ， 全 0 网 络 地 址 《0000 0000 ) 被 保留 用 于 指定 默认 路 由 (参阅 表 3-4 )。 另 外 ， 
地 址 127 被 保留 用 于 诊断 ， 你 也 不 能 使 用 ， 这 意味 着 你 只 能 使 用 编号 1~ 126 指定 A 类 网 络 地 址 。 也 
就 是 说 ， 实 际 可 以 使 用 的 A 类 网 络 地 址 数 为 128 -2 = 126。 


IP 地 址 127.0.0.1 用 于 测试 一 个 节点 上 的 卫 栈 , 不 能 用 作 主 机 地 址 。 然 而 , 该 环 
注意 ” 回 地 址 为 运行 在 同一 台 设 备 上 的 TCP/IP 应 用 程序 和 服务 之 间 的 通信 提供 了 一 种 快 
捷 方 法 。 
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每 个 A 类 地 址 都 有 3B (24 位 ) 用 于 表示 机 器 的 节点 地 址 。 这 意味 着 有 2*( 16 777 216 种 组 合 )， 
因此 每 个 A 类 网 络 可 使 用 的 节点 地 址 数 为 16 777 216。 由 于 全 0 和 全 1 的 节点 地 址 被 保留 ，A 类 
网 络 实际 可 包含 的 最 大 节点 数 为 24- 2= 16777 214。 无 论 如 何 ， 这 在 一 个 网 段 都 是 一 个 很 大 的 主机 
数目 。 

@ A 类 网 络 的 合法 主机 ID 

下 面 的 示例 演示 了 如 何 确 定 A 类 网 络 的 合法 主机 ID。 

口 所 有 主机 位 都 为 0 时 ， 得 到 的 是 网 络 地 址 : 10.0.0.0。 

口 所 有 主机 位 都 为 1 时 ， 得 到 的 是 广播 地 址 : 10.255.255.255。 

合法 的 主机 ID 为 网 络 地 址 和 广播 地 址 之 间 的 地 址 : 10.0.0.1 ~10.255.255.254。 注 意 ，0 和 255 不 
是 合法 的 主机 态 。 确 定 合 法 的 主机 地 址 时 ， 只 需 记 住 一 点 : 主机 位 不 能 都 为 零 ， 也 不 能 都 为 1。 

3. B 类 地 址 

在 也 类 地 址 中 , 前 2 B 为 网 络 地 址 ， 余 下 的 2B 为 节点 地 址 ， 其 格式 如 下 : 

network.network.node.node 

例如 ,在 全 地址 172.16.30.56 中 ， 网 络 地 址 为 172.16， 节 点 地 址 为 30.56。 

在 网 络 地 址 为 2B (每 字 节 8 位 ) 的 情况 下 ， 有 2" 种 不 同 的 组 合 , 但 设计 因特网 的 人 规定 ， 所 有 
B 类 网 络 地 址 都 必须 以 二 进 制 数 10 开头 ， 只 留 下 14 位 供 我 们 使 用 ， 因 此 有 16 384 ( 22 ) 个 不 同 的 B 
类 网 络 地 址 。 

B 类 地 址 用 2 B 表示 节点 地 址 ， 因 此 每 个 B 类 网 络 有 2: - 2 ( 两 个 保留 的 地 址 ， 即 全 为 1 和 全 为 
0 的 地 址 )， 即 65 534 个 节点 地 址 。 

@ B 类 网 络 的 合法 主机 ID 
下 面 的 示例 演示 了 如 何 确定 B 类 网 络 的 合法 主机 ID。 
口 所 有 主机 位 都 为 0 时 ， 得 到 的 是 网 络 地 址 : 172.16.0.0。 
口 所 有 主机 位 都 为 1 时， 得 到 的 是 广播 地 址 : 172.16.255.255。 
合法 的 主机 ID 为 网 络 地 址 和 广播 地 址 之 间 的 地 址 : 172.16.0.1 ~172.16.255.254。 
4. C 类 地 址 
C 类 地 址 的 前 3 个 字 节 为 网 络 部 分 ， 余下 的 一 个 字 节 表示 节点 地 址 ， 其 格式 如 下 : 
network.network.network.node 
在 让 地址 192.168.100.102 中 ， 网 络 地 址 为 192.168.100， 节 点 地 址 为 102。 
在 C 类 网 络 地 址 中 ,前 3 位 总 是 为 二 进 制 110。 计 算 C 类 网 络 数 的 方法 如 下 : 3B 为 24 位, 减 去 
3 个 保留 位 后 为 21 位， 因此 有 22 (2 097 152 ) 个 C 类 网 络 。 
每 个 C 类 网 络 都 1 B 用 作 节 点 地 址 ， 因 此 每 个 C 类 网 络 有 2 - 2 ( 两 个 保留 的 地 址 ， 即 全 为 1 和 
全 为 0 的 地 址 )， 即 254 个 节点 地 址 。 
@ C 类 网 络 的 合法 主机 ID 
下 面 的 示例 演示 了 如 何 确定 C 类 网 络 的 合法 主机 ID。 
口 所 有 主机 位 都 为 零 时 ， 得 到 的 是 网 络 地 址 ;192.168.100.0。 
口 所 有 主机 位 都 为 1 时， 得 到 的 是 广播 地 址 ; 192.168.100.255。 
合法 的 主机 ID 为 网 络 地 址 和 广播 地 址 之 间 的 地 址 : 192.168.100.1 ~192.168.100.254。 
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3.3.3 私有 IP 地址 : 


制定 他 编 址 方案 的 人 还 提供 了 私有 "地址 。 这 些 地 址 可 用 于 私有 网 络 , 但 在 因特网 中 不 可 路 由 。 
设计 私有 地 址 旨 在 提供 一 种 亟 需 的 安全 措施 ， 但 也 可 帮助 节省 宝贵 的 卫 地 址 空间 。 

如 果 每 个 网 络 中 的 每 台 主 机 都 必须 有 可 路 由 的 IP 地 址 ，IP 地 址 在 多 年 前 就 耗 尽 了 。 通 过 使 用 私 
有 耳 地 址 , ISP、 公 司 和 家 庭 用 户 只 和 需 少 量 公 有 了 地 址 就 可 将 其 网 络 连接 到 因特网 。 这 是 一 种 经 济 的 
解决 方案 ， 因 为 只 需 在 内 部 网 络 中 使 用 私有 IP 地 址 。 

为 此 , ISP 和 公司 ( 也 就 是 最 终 用 户 , 不 管 它们 是 谁 ) 需 要 使 用 NAT ( Network Address Translation ， 
网 络 地 址 转换 )，NAT 将 私有 下 地 址 进行 转换 ， 以 便 在 因特网 中 使 用 。( NAT 将 在 第 13 章 介绍 。) 同 
一 个 公有 人 P 地 址 可 供 很 多 人 使 用 , 以 便 将 数据 发 送 到 因特网 。 这 节省 了 大 量 的 地 址 空间 , 对 所 有 人 都 
有 益 。 

表 3-5 列 出 了 保留 的 私有 地 址 。 


表 3-5 ”保留 的 IP 地 址 空间 


地 址 类 型 保留 的 地 址 空间 
A 类 10.0.0.0 ~ 10.255.255.255 
B 类 172.16.0.0 ~ 172.31.255.255 
C 类 192.168.0.0 ~ 192.168.255.255 


要 通过 思科 认证 ， 读 者 必须 热 悉 私 有 地 址 空间 。 
注意 


我 应 使 用 哪 种 私有 IP 地 址 呢 ? 


这 个 问题 问 得 很 好 : 组 建 网络 时 ,应 使 用 A 类 、B 类 还 是 C 类 私有 地 址 呢 ? 下 面 以 旧金山 的 
Acme Corporation 为 例 回 答 这 个 问题 。 该 公司 搬 到 了 新 的 办 公 大 楼 ， 需 要 组 建 全 新 的 网 络 ( 这 是 
一 项 重大 的 任务 )。 该 公司 有 14 个 部 门 ， 每 个 部 门 大 约 70 名 网 络 用 户 。 你 可 以 使 用 一 两 个 C 类 
网 络 地 址 ， 也 可 使 用 B 类 甚至 A 类 网 络 地 址 。 

咨询 业界 的 一 个 经 验 法 则 是 ， 组 建 公司 网 络 时 ， 不管 其 规模 多 小 ， 我 们 都 应 使 用 A 类 网 络 地 
址 ， 因 为 它 提 供 了 最 大 的 灵活 性 和 扩容 空间 。 例 如 ， 如 果 使 用 网 络 地 址 10.0.0.0 和 子 网 掩 码 /24， 


你 将 得 到 65 536 个 网 络 ， 每 个 网 络 最 多 可 和 包含 254 台 主 机 。 这 为 网 络 提供 了 极 大 的 扩容 空间 。 
然而 ,组 建 家 庭 网 络 时 ,我 们 应 选择 C 类 网 络 地 址 ， 因 为 这 最 容易 理解 和 配置 。 通 过 使 用 默 
认 的 C 类 网 络 子 网 掩 码 ， 一 个 网 络 最 多 可 包含 254 台 主 机 ， 这 对 家 庭 网 络 来 说 足够 了 。 
就 Acme Corporation 而 言 ， 我 们 可 使 用 10.1.x.0 和 子 网 掩 码 /24( 其 中 x 为 每 个 部 门 的 子 网 )， 
它 容易 设计 、 安 装 和 排除 故障 。 
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3.4 1IPv4 地 址 类 型 


大 多 数 人 都 将 广播 作为 通用 术语 使 用 ， 且 大 多 数 时 候 我 们 都 能 明白 其 含义 ,但 并 非 总 是 如 此 。 例 
如 ,你 可 能 这 样 说 :“ 主 机 通过 路 由 器 广播 到 DHCP 服务 器 ”, 但 这 种 情况 根本 不 可 能 发 生 。 你 要 表达 
的 意思 可 能 如 下 使 用 正确 的 技术 术语 );: DHCP 客户 端 通 过 广播 来 获取 IP 地 址 ， 路 由 器 使 用 单 播 分 
组 将 该 广播 转发 给 DHCP 服务 器 。 在 IPv4 中 , 广播 非常 重要 ， 而 在 IPv6 中 ， 根 本 就 不 会 发 送 广 
播 一 一 当 你 阅读 第 15 章 时 ， 这 将 是 让 你 激动 的 因素 。 

在 第 1 章 和 第 2 章 ， 我 不 断 地 提 到 广播 地 址 ， 并 提供 了 一 些 示 例 。 然 而 ， 我 并 没有 详细 介绍 与 之 
相关 的 术语 及 用 法 ， 现 在 该 介绍 了 。 下 面 是 我 要 定义 的 4 种 IPv4 地 址 。 

口 第 2 层 广播 地 址 ”表示 LAN 中 的 所 有 节点 。 

口 广播 〈 第 3 层 ) 地 址 表示 网 络 中 的 所 有 节点 。 

口 单 播 地 址 ”这 是 特定 接口 的 地 址 ， 用 于 将 分 组 发 送 给 单个 目标 主机 。 

口 组 播 地 址 ”用 于 将 分 组 传输 到 不 同 网 络 中 的 众多 设备 ， 常 用 一 对 多 来 形容 。 


3.4.1 第 2 层 广播 


第 2 层 广 播 也 叫 硬 件 广播 ， 它 们 只 在 当前 LAN 内 传输 ， 而 不 会 穿越 LAN 边界 (路 由 器 )。 
典型 的 硬件 地 址 长 6B ( 48 位)， 如 45:AC:24:E3:60:A5。 使 用 二 进 制 表 示 时 ,该 广播 地 址 全 为 1， 
而 使 用 十 六 进 制 表示 时 全 为 FE， 即 FF:FF:FF:FF:FF:FF。 


3.4.2 第 3 层 广播 


第 3 层 也 有 广播 地 址 。 广 播 消息 是 发 送 给 广播 域 中 所 有 主机 的 ， 其 目标 地 址 的 主机 位 都 为 1。 

下 面 是 一 个 你 熟悉 的 例子 : 对 于 网 络 地 址 172.16.0.0 255.255.0.0， 其 广播 地 址 为 172.16.255.255 
有 主机 位 都 为 1。 广 播 也 可 以 是 发 送 给 所 有 网 络 中 的 所 有 主机 的 ， 例 如 255.255.255.255。 

一 种 典型 的 广播 消息 是 地 址 解析 协议 (ARP ) 请 求 。 假 设 有 人 台 主 机 要 发 送 分 组 ， 且 知道 目的 地 的 
逻辑 地 址 (IP )。 为 让 分 组 到 达 目 的 地 ， 主 机 需要 将 其 转发 给 默认 网 关 一 一 如 果 目 的 地 位 于 另 一 个 卫 
网 络 中 。 如 果 目 的 地 位 于 当前 网 络 中 ， 源 主机 将 把 分 组 直接 转发 到 目的 地 。 由 于 源 主 机 没有 转发 帧 所 
需 的 MAC 地 址 ， 它 发 送 广播 ， 当 前 广播 域 中 的 每 台 设 备 都 将 侦 听 该 广播 。 该 广播 相 当 于 在 说 ; 如 果 
你 拥有 卫 地址 192.168.2.3， 请 将 MAC 地 址 告诉 我 。 


3.4.3” 单 播 地 址 


单 播 地 址 是 分 配给 网 络 接口 卡 的 瑟 地 址 , 在 分 组 中 用 作 目标 地 址 , 换 句 话说 , 它 将 分 组 传输 到 特 
定 主机 。DHCP 客户 端 请 求 很 好 地 说 明了 单 播 的 工作 原理 。 

下 面 是 一 个 例子 : LAN 中 的 主机 发 送 广播 (其 第 2 层 目 标 地 址 为 FF:FF:FF:FF:FF:FF， 而 第 3 层 
目标 地 址 为 255.255.255.255 ), 在 LAN 中 寻找 DHCP 服务 器 。 路 由 器 知道 这 是 发 送 给 DHCP 服务 器 的 
广播 ,因为 其 目标 端口 号 为 67 ( BootP 服务 器 )， 因 此 会 将 该 请 求 转发 到 另 一 个 LAN 中 的 DHCP 服务 
器 。 因 此 ， 如 果 DHCP 服务 器 的 P 地 址 为 172.16.10.1， 主 机 只 需 以 广播 方式 发 送 DHCP 请 求 (其 自 
标 地 址 为 255.255.255.255 )， 路 由 器 将 修改 该 广播 ， 将 其 目标 地 址 改 为 172.16.10.1。 为 让 路 由 器 提供 
这 种 服务 ， 你 需要 使 用 命令 ip helper-address 配置 接口 一 一 这 不 是 默认 启用 的 服务 。 


所 
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3.4.4 组 播 地 址 


组 播 与 其 他 通信 类 型 完全 不 同 。 乍 一 看 ， 它 好 像 是 单 播 和 广播 的 混合 体 ， 但 不 是 这 样 。 组 播 确实 
支持 点 到 多 点 通信 ， 这 类 似 于 广播 ,但 工作 原理 不 同 。 组 播 的 关键 点 在 于 ， 它 让 多 个 接收 方 能 够 接收 
消息 , 却 不 会 将 消息 传递 给 广播 域 中 的 所 有 主机 。 然 而 , 这 并 非 默认 行为 , 而 是 在 配置 正确 的 情况 下 ， 
使 用 组 播 达 到 的 。 

组 播 这 样 工 作 : 将 消息 或 数据 发 送 给 人 P 组 播 组 地 址 , 路 由 器 将 分 组 的 副本 从 每 个 这 样 的 接口 转发 
出 去 (这 不 同 于 广播 ， 路 由 器 不 转发 广播 )， 给 订阅 了 该 组 播 的 主机 。 这 就 是 组 播 不 同 于 广播 的 地 方 : 
从 理论 上 说 ， 组 播 通信 只 会 将 分 组 副本 发 送 给 订阅 主机 。 从 理论 上 说 ， 指 的 是 主机 将 收 到 发 送 给 
224.0.0.10 的 组 播 分 组 ( EIGRP 分 组 ， 只 有 运行 EIGRP 协议 的 路 由 器 才 会 读 取 它 )。 广 播 型 LAN (以 
太 网 是 一 种 广播 型 多 路 访问 LAN 技术 ) 中 的 所 有 主机 都 将 接收 这 种 帧 ， 读 取 其 目标 地 址 ， 然 后 马上 
丢弃 一 一 除非 它 是 组 播 组 的 成 员 。 这 节省 了 PC 的 处 理 周 期 , 但 没有 节省 LAN 带宽 。 如果 不 小 心 实现 ， 
组 播 有 时 会 导致 严重 的 LAN 拥塞 。 

用 户 和 应 用 程序 可 加 入 多 个 组 播 组 。 组 播 地 址 的 范围 为 244.0.0.0 一 239.255.255.255， 正 如 你 看 到 
的 ， 这 个 地 址 范围 位 于 D 类 IP 地 址 空间 内 。 


3.5 小结 


如 果 你 坚持 读 到 了 这 里 ， 并 一 次 就 明白 了 所 有 的 内 容 ， 应 感到 自豪 。 本 章 介绍 了 大 量 内 容 ， 理 解 
这 些 知 识 对 你 阅读 本 书 的 其 他 内 容 至 关 重 要 。 

即使 你 第 一 次 阅读 本 章 时 未 能 完全 理解 , 也 不 要 担心 , 多 读 几 次 好 了 。 需要 介绍 的 内 容 还 有 很 多 ， 
请 务必 透彻 理解 本 章 内 容 ， 为 阅读 后 续 内 容 做 好 准备 。 你 现在 是 在 打 基 础 ， 你 希望 打下 坚实 的 基础 ， 
不 是 吗 ? 

学 习 DoD 模型 及 其 包含 的 层 和 相关 协议 后 ， 你 学 习 了 非常 重要 的 IP 编 址 。 我 详细 介绍 了 各 类 地 
址 之 间 的 区 别 ， 以 及 如 何 确 定 网 络 地 址 、 广 播 地址 和 合法 的 主机 地 址 范围 ,这些 知 识 非常 重要 ， 阅 读 
第 4 章 前 必须 明白 它们 。 

鉴于 你 已 经 走 了 这 么 远 ， 没 有 理由 就 此 停止 脚步 ， 将 所 做 的 努力 都 付 诸 东 流 。 不 要 就 此 止步 ， 继 
续 完 成 本 章 末尾 的 书面 实验 和 复习 题 ， 并 确保 你 理解 了 每 个 问题 的 答案 。 最 美的 风光 在 前 方 ! 
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区 分 DoD 和 OSI 网 络 模型 。DoD 模型 是 OSI 模型 的 简化 版 ， 包 含 4 层 而 不 是 7 层 ， 但 与 OSI 模 
型 的 相似 之 处 在 于 ， 它 也 可 用 于 描述 分 组 的 创建 以 及 设备 和 协议 对 应 的 层 。 

识别 进程 /应 用 层 协 议 。Telnet 是 一 个 终端 模拟 程序 ， 让 你 能 够 登录 到 远程 主机 并 运行 程序 。 文 件 
传输 协议 (FTP ) 是 一 种 面向 连接 的 服务 ， 让 你 能 够 传输 文件 。 简 单 FTP ( TFTP ) 是 一 种 无 连接 的 文 
件 传输 程序 。 简 单 邮件 传输 协议 ( SMTP ) 是 一 个 发 送 电子 邮件 的 程序 。 

识别 主机 到 主机 层 协 议 。 传 输 控制 协议 (TCP ) 是 一 种 面向 连接 的 协议 , 通过 使 用 确认 和 流量 控 
制 提供 可 靠 的 网 络 服务 。 用 户 数 据 报 协议 ( UDP ) 是 一 种 无 连接 协议 ， 其 开销 低 ， 被 视 为 不 可 靠 
协议 。 . 
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识别 因特网 层 协 议 。 因 特 网 协议 (了 IP ) 是 一 种 无 连接 的 协议 ， 提 供 网 络 地 址 以 及 在 互联 网 络 中 进 
行路 由 选择 的 功能 。 地 址 解析 协议 (ARP ) 根据 下 地 址 获悉 硬件 地 址 。 逆 向 ARP (了 RARP ) 根据 硬件 
地 址 获悉 PP 地址 。 因 特 网 控制 消息 协议 (ICMP ) 提供 诊断 消息 和 目标 不 可 达 消 息 。 

描述 DNS 和 DHCP 在 网 络 中 的 功能 。 动 态 主 机 配置 协议 (DHCP ) 给 主机 提供 网 络 配置 信息 ( 包 
括 地 址 ), 可 避免 管理 员 进 行 手工 配置 。 域 名 服务 ( DNS 将 解析 主机 名 ( 包括 诸如 www.routersim.com 
等 因特网 名 称 以 及 诸如 Workstation 2 等 设备 名 )， 让 你 无 需 知道 设备 的 他 地 址 就 能 连接 到 它 。 

指出 面向 连接 通信 中 TCP 报头 的 内 容 。TCP 报头 中 的 字段 包括 源 端 口 、 目 标 端口 、 序 列 号 、 确 
认 号 、 报 头 长 度 、 保 留 字段 (保留 供 以 后 使 用 )、 编 码 位 窗口 大 小 、 校 验 和 、 紧 急 指 针 、 选 项 和 数据 
字段 。 

指出 无 连接 通信 中 UDP 报头 的 内 容 。UDP 报头 只 包含 字段 源 端口 、 目 标 端口 、 长 度 、 校 验 和 和 
数据 。 相 对 于 TCP 报头 ， 其 字段 更 少 了 ， 但 代价 是 不 提供 TCP 的 高 级 功能 。 

指出 IP 报头 的 内 容 。IP 报头 中 的 字段 包括 版 本 、 报 头 长 度 、 优 先 级 和 服务 类 型 、 总 长 度 、 标 识 、 
标志 、 分 段 偏 移 、 存 活 时 间 、 协 议 、 报 头 校 验 和 、 源 下 地 址 、 目 标 IP 地址 、 选 项 和 数据 。 

比较 UDP 和 TCP 的 特征 。TCP 是 面向 连接 的 ， 进 行 确认 和 排序 ,支持 流量 和 错误 控制 , 而 UDP 
是 无 连接 的 ， 不 进行 确认 和 排序 ， 不 提供 错误 和 流量 控制 功能 。 

理解 端口 号 的 作用 。 端 口号 用 于 标识 在 传输 中 使 用 的 协议 或 服务 。 

描述 ICMP 的 作用 。 因 特 网 控制 消息 协议 (ICMP ) 运行 在 网 络 层 ， 被 卫 用 于 获得 众多 不 同 的 服 
务 。ICMP 是 一 种 管理 协议 ， 向 卫 提供 消息 收发 服务 。 

描述 A 类 IP 地 址 的 范围 。A 类 网 络 地 址 范围 为 1 一 126。 默 认 情况 下 ，A 类 地 址 的 前 8 位 为 网 络 
地 址 ,余下 的 24 位 为 主机 地 址 。 

描述 B 类 IP 地 址 的 范围 。B 类 网 络 地 址 范围 为 128 ~191。 上 默认 情况 下 ，B 类 地 址 的 前 16 位 为 网 
络 地 址 ， 余 下 的 16 位 为 主机 地 址 。 

描述 C 类 IP 地 址 的 范围 。C 类 网 络 地 址 范围 为 192 ~ 223。 默 认 情 况 下 ，C 类 地 址 的 前 24 位 为 网 
络 地 址 ,余下 的 8 位 为 主机 地 址 。 

描述 私有 IP 地 址 的 范围 。A 类 私有 地 址 范围 为 10.0.0.0 一 10.255.255.255。 

B 类 私有 地 址 范围 为 172.16.0.0~172.31.255.255。 

C 类 私有 地 址 范围 为 192.168.0.0 一 192.168.255.255。 

区 分 广播 地 址 、 单 播 地 址 和 组 播 地 址 。 广播 地 址 表示 子 网 中 的 所 有 设备 , 单 播 地 址 表示 单 台 设备 ， 
而 组 播 地 址 表示 部 分 设备 。 


3.7 书面 实验 


在 本 节 中 ， 你 将 完成 如 下 实验 ， 确 保 明 白 了 其 中 涉及 的 信息 和 概念 。 
口 实验 3.1: TCP/IP。 

口 实验 3.2: 协议 对 应 的 DoD 模型 层 。 

(书面 实验 的 答案 见 本 章 复 习题 答案 的 后 面 。) 
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3.7.1 书面 实验 3.1: TCP/IP 


请 回答 如 下 有 关 TCP/IP 的 问题 。 

(1) 指出 C 类 地 址 的 范围 ， 分 别 用 二 进 制 和 十 进 制 表示 。 
(2) DoD 模型 的 哪 一 层 对 应 OSI 模型 的 传输 层 ? 
(3) A 类 网 络 地 址 在 什么 范围 内 ? 

(4) 地 址 127.0.0.1 用 于 做 什么 ? 

(5) 如 何 根据 瑟 地 址 找 出 网 络 地 址 ? 

(6) 如 何 根据 人 P 地 址 找 出 广播 地 址 ? . 

(7) 请 指出 A 类 私有 人 x 地址 空间 。 

(8) 请 指出 B 类 私有 IP 地 址 空间 。 

(9) 请 指出 C 类 私有 IP 地 址 空间 。 

(10) 在 十 六 进 制 地 址 中 ， 可 使 用 哪些 字符 ? 


3.7.2 书面 实验 3.2: 协议 对 应 的 DoD 模型 层 


DoD 模型 包含 4 层 ， 它 们 是 进程 /应 用 层 、 主 机 到 主机 层 、 因 特 网 层 和 网 络 接 入 层 。 请 指出 下 述 
各 种 协议 运行 在 DoD 模型 的 哪 一 层 。 


(1) 因特网 协议 (IP )。 (2) Telnet。 
(3) FTP。 (4) SNMP。 
(5) DNS。 (6) 地 址 解析 协议 (ARP )。 
(7) DHCP/BootP。 (8) 传输 控制 协议 (TCP )。 
(9) X Window。 (10) 用 户 数据 报 协议 (UDP )。 
(11) NFS。 (12) 因特网 控制 消息 协议 (ICMP )。 
(13) 逆向 地 址 解析 协议 (RARP )。 (14) 代理 ARP。 
(15) TFTP。 (16) SMTP。 
(17) LPD。 
3.8 复习 题 


下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
注意 ” 信息 ， 请 参阅 本 书 的 前 言 。 


(1) 发 生 DHCP IP 地 址 冲突 时 ， 结 果 将 如 何 ? 
A. 代理 ARP 将 修复 这 种 问题 
B. 客户 端 使 用 免费 ARP 修复 这 种 问题 
C. 管理 员 必须 在 DHCP 服务 器 中 手工 消除 冲突 
D. DHCP 服务 器 将 给 发 生 冲 突 的 两 台 计 算 机 分 配 新 的 瑟 地址 
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(2) 下 面 哪 项 让 路 由 器 对 发 送 给 远程 主机 的 ARP 请 求 作出 响应 ? 
A. 网 关 DP B. 逆向 ARP (RARP ) C. 代理 ARP 
D. 反 向 ARP (IARP ) E. 地 址 解析 协议 (ARP ) 
(3) 你 想 实 现 一 种 自动 配置 P (包括 瑟 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 信息 ) 的 机 制 ， 为 此 应 使 用 


哪 种 协议 ? 
A. SMTP B. SNMP C. DHCP D. ARP 
(4) 哪 种 协议 用 于 查找 本 地 设备 的 硬件 地 址 ? 
A. RARP B. ARP C.IP 
D. ICMP E. BootP 
(5) 下 面 哪 3 项 是 TCP/IP 模型 包含 的 层 ? 
A. 应 用 层 B. 会 话 层 C. 传输 层 
D. 因特网 层 E. 数据 链 路 层 F. 物理 层 
(6) 哪 类 网 络 最 多 只 能 包含 254 台 主 机 ? 
A.A 类 B.B 类 C.C 类 
D.D 类 E.E 类 


(7) 下 面 哪 两 项 描述 了 DHCP 发 现 消息 ? 
A. 它 将 FF:FF:FF:FF:FF:FF 用 作 第 2 层 广播 地 址 
B. 它 将 UDP 用 作 传输 层 协议 
C. 它 将 TCP 用 作 传 输 层 协议 
D. 它 不 使 用 第 2 层 目标 地 址 
(8) Telnet 使 用 哪 种 第 4 层 协 议 ? 


A.IP B.TCP C. TCP/IP 
D. UDP E. ICMP 


(9) DHCP 客户 端 如 何 确保 没有 其 他 计算 机 使 用 分 配给 它 的 瑟 地 址 ? 
A. 确认 收 到 了 TCP 数据 段 
B. Ping 自己 的 地 址 ， 看 能 不 能 检测 到 响应 
C. 广播 代理 ARP 请 求 
D. 广播 免费 ARP 请 求 
E. 远程 登录 自己 的 卫 地 址 


(10) 下 面 哪 3 项 服务 使 用 TCP? 
A. DHCP B. SMTP C. SNMP 
D. FTP E. HTTP F. TFTP 
(11) 下 面 哪 3 种 服务 使 用 UDP? 
A. DHCP B. SMTP C. SNMP 
D. FTP E. HTTP F. TFTP 
(12) 下 面 哪 3 种 TCP/IP 协议 用 于 OSI 模型 的 应 用 层 ? 
A.IP B. TCP C. Telnet 
D. FTP E. TFTP 
(13) 下 图 描述 的 是 哪 种 协议 的 报头 ? 
A.IP B. ICMP C. TCP 
D. UDP E. ARP F. RARP 


(14) 使 用 Telnet 或 FTP 时 ,你 将 使 用 哪 层 生成 数据 ? 
A. 应 用 层 B. 表示 层 C. 会 话 层 D. 传输 层 
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16 位 源 端口 | 16 位 目标 端口 | 
32 位 序列 号 
32 位 确认 号 
4 位 报头 留 示 志 Da 小 
长 度 保留 标志 16 位 窗口 大 /| 
16 位 TCP 校 验 和 16 位 紧急 指针 


选项 


(15) DoD 模型 也 叫 TCP/IP 栈 ， 它 包含 4 层 。 请 问 DoD 模型 的 哪 层 对 应 OSI 模型 的 网 络 层 ? 


A. 应 用 层 B. 主机 到 主机 层 C. 因特网 层 D. 网 络 接 入 层 
(16) 下 面 哪 两 个 是 私有 全 地址 ? 
A. 12.0.0.1 B. 168.172.19.39 C. 172.20.14.36 D. 172.33.194.30 


E. 192.168.24.43 
(17) TCP/IP 栈 的 哪 层 对 应 OSI 模型 的 传输 层 ? 
A. 应 用 层 B. 主机 到 主机 层 C. 因特网 层 D. 网 络 接 人 层 
(18) 下 面 哪 两 种 有 关 ICMP 的 说 法 是 正确 的 ? 
A.ICMP 保证 数据 报 的 传递 
B. ICMP 可 向 主机 提供 有 关 网 络 故 障 的 信息 
C. ICMP 分 组 被 封装 在 IP 数据 报 中 
D. ICMP 分 组 被 封装 在 UDP 数据 报 中 
(19) 下 面 哪 项 是 B 类 网 络 地 址 范围 的 二 进 制 表示 ? 


A. Olxxxxxx B. OXXXXXXX C. 10xxxxxx D. 110xxxxx 
(20) 下 面 哪 种 协议 使 用 TCP 和 UDP? 
A.FTP B. SMTP C. Telnet D. DNS 


3.9 复习 题 答案 


(1) C。 如 果 检 测 到 DHCP 冲突 (检测 方法 有 两 种 : 服务 器 发 送 ping 并 检测 响应 ; 主机 使 用 免费 ARP 解 
析 自 己 的 中 地 址 ， 看 是 否 有 主机 响应 ) ， 服 务 器 将 保留 该 地 址 ， 而 不 再 次 使 用 它 ， 直 到 管理 员 修复 了 问题 。 

(2) C。 代 理 ARP 可 帮助 主机 到 达 远 程 子 网 ， 而 不 需要 配置 路 由 选择 或 默认 网 关 。 

(3) C。 动 态 主机 配置 协议 (DHCP ) 用 于 向 网 络 中 的 主机 提供 中 信息 。DHCP 可 提供 大 量 信息 ， 但 最 
常见 的 是 瑟 地址 、 子 网 掩 码 、 默 认 网 关 和 DNS 信息 。 

(4) B。 地 址 解析 协议 《ARP ) 用 于 根据 IP 地 址 获悉 硬件 地 址 。 

(5) A、C、D。 乍 一 看 ， 这 个 问题 很 难 ， 因 为 它 不 合理 。 答 案 来 自 OSI 模型 层 ， 而 问题 是 关于 TCP/IP 
协议 栈 ( DoD 模型 ) 的 。 然 而 ， 来 看 看 哪些 答案 是 错误 的 。 首 先 ， 会 话 层 不 在 TCP/IP 模型 中 ， 数 据 链 路 层 
和 物理 层 亦 如 此 ， 因 此 只 剩 下 了 传输 层 ( DoD 模型 中 为 主机 到 主机 层 ) 、 因 特 网 层 ( OSI 模型 中 为 网 络 层 ) 
和 应 用 层 (DopD 模型 中 为 进程 /应 用 层 ) 。 

(6) C。 在 C 类 地 址 中 ， 只 有 8 位 用 于 定义 主机 : 2 - 2 =254。 
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(7) A、B。 为 获悉 中 地 址 ， 客 户 端 需要 发 送 DHCP 发 现 消 息 ， 为 此 它 在 第 2 层 和 第 3 层 发 送 广播 。 第 
2 层 广 播 的 目标 地 址 全 为 FE, 即 FF:FF:FF:FF:FF:FF。 第 3 层 广播 的 目标 地 址 为 255.255.255.255, 这 表示 任何 
网 络 和 任何 主机 。DHCP 是 元 连接 的 ,这 意味 着 它 在 传输 层 ( 也 叫 主机 到 主机 层 ) 使 用 用 户 数据 报 协议 ( UDP )。 

(8)B。 虽 然 Telnet 使 用 TCP 和 JP (TCP/IP ) ， 但 问 的 是 第 4 层 ， 而 卫 运行 在 第 3 层 。Telnet 在 第 4 层 
使 用 TCP。 

(9) D。 为 避免 可 能 发 生 的 地 址 冲突 ，DHCP 客户 端 使 用 免费 ARP (广播 ARP 请 求 ， 以 获悉 自己 的 下 
地 址 对 应 的 硬件 地 址 ) ， 看 是 否 有 其 他 主机 响应 。 

(10) B、D、E。SMTP、FTP 和 HTTP 使 用 TCP。 

(11) A、C、F。DHCP、SNMP 和 TFTP 使 用 UDP， 而 SMTP、FTP 和 HTTP 使 用 TCP。 

(12)C、D、E。Telnet、 文 件 传输 协议 (FTP ) 和 简单 FTP (TFTP ) 都 是 应 用 层 协议 ，IP 是 网 络 层 协议 ， 
传输 控制 协议 (TCP ) 是 传输 层 协 议 。 

(13)C。 首 先 ， 你 应 该 知道 只 有 TCP 和 UDP 运行 在 传输 层 ， 这 样 答对 的 概率 变 成 了 50%。 然 而 ， 由 于 
该 报头 包含 字段 序列 号 、 确 认 号 和 窗口 大 小 ,答案 只 能 是 TCP。 

(14) A。FTP 和 Telnet 都 在 传输 层 使 用 TCP, 但 它们 都 是 应 用 层 协 议 , 因此 这 个 问题 的 最 佳 答案 是 应 用 层 。 

(15) C。DoD 模型 包含 的 4 层 为 进程 /应 用 层 、 主 机 到 主机 层 、 因 特 网 层 和 网 络 接 入 层 。 因 特 网 层 对 应 
OSI 模型 的 网 络 层 。 

(16) C、E。A 类 私有 地 址 范围 为 10.0.0.0 ~ 10.255.255.255，B 类 私有 地 址 范围 为 172.16.0.0 ~ 
172.31.255.255,，C 类 私有 地 址 范围 为 192.168.0.0 一 192.168.2S5.255。 

(17) B。TCP/IP 栈 (也 叫 DoD 模型 ) 包含 的 4 层 为 进程 /应 用 层 、 主 机 到 主机 层 、 因 特 网 层 和 网 络 接 入 
层 。 主 机 到 主机 层 对 应 OSI 模型 的 传输 层 。 

(18) B、C。ICMP 用 于 提供 诊断 和 目标 不 可 达 消 息 。ICMP 分 组 被 封装 在 下 数据 报 中 ; 由 于 ICMP 用 于 
诊断 ， 它 将 向 主机 提供 有 关 网 络 故障 的 信息 。 

(19) C。B 类 网 络 地 址 范围 为 128 ~ 191， 对 应 的 二 进 制 表示 为 10xxxxxx。 

(20) D。DNS 使 用 TCP 在 服务 器 之 间 进 行 区 域 交换 ( zone exchange ) ， 而 当 客 户 端 试图 将 主机 名 解析 
为 下 地 址 时 ，DNS 使 用 UDP。 


3.10 书面 实验 3.1 答案 


(1) 192 一 223 ( 110xxxxx ) (2) 主机 到 主机 层 

(3) 1 一 126 (4) 环 回 或 诊断 

(5) 将 所 有 主机 位 都 设置 为 0 (6) 将 所 有 主机 位 都 设置 为 1 

(7) 10.0.0.0 ~ 10.255.255.255 (8) 172.16.0.0 ~ 172.31.255.255 

(9) 192.168.0.0 ~ 192.168.255.255 (10)0 ~9 以 及 A、B、C、D、E 和 F 
3.11 书面 实验 3.2 答案 

(1) 因特网 层 (2) 进程 /应 用 层 (3) 进程 /应 用 层 (4) 进程 /应 用 层 

(5) 进程 /应 用 层 (6) 因特网 层 (7) 进程 /应 用 层 (8) 主机 到 主机 层 

(9) 进程 /应 用 层 (10) 主机 到 主机 层 (11) 进程 /应 用 层 (12) 因特网 层 

(13) 因特网 层 (14) 因特网 层 (15) 进程 /应 用 层 (16) 进程 /应 用 层 


(17) 进程 /应 用 层 


1 
2 


第 企 
轻松 划分 子 网 


本 章 涵盖 如 下 CCNA 考试 要 点 。 

v 描述 网 络 的 工作 原理 

口 解读 网 络 示意 图 。 

v 实现 IP 编 址 方案 和 IP 服务 ， 以 满足 中 型 企业 分 支 机 构 网 络 的 网 络 需求 

口 描述 私有 和 公有 人 P 地 址 的 工作 原理 以 及 好 处 ; 

口 在 LAN 环境 中 实现 静态 和 动态 编 址 服务 。 

本 章 从 前 一 章 结束 的 地 方 开始 ， 继 续 讨 论 全 编 址 。 

我 们 将 首先 讨论 IP 网络 的 子 网 划分 。 你 必须 专心 致 志 ， 因 为 要 掌握 子 网 划分 ， 需 要 时 间 和 练习 。 
因此 ， 要 有 耐心， 并 想 尽 一 切 办 法 掌握 这 项 内 容 。 本 章 确实 很 重要 ， 而 且 可 能 是 全 书 最 重要 的 ， 你 必 
须 理解 。 

` 本 章 将 详细 介绍 卫 子 网 划分 。 对 你 来 说 , 子 网 划分 可 能 很 神秘 , 但 如 果 你 能 将 之 前 学 到 的 子 网 划 
分 知识 统统 忘掉 (尤其 是 在 Microsoft 课程 中 学 到 的 )， 感 觉 将 好 得 多 。 

请 准备 好 ,阅读 之 旅 马上 就 要 开始 了 。 本 章 将 切实 帮助 你 理解 全 编 址 和 组 网 ， 因 此 不 要 气 饿 , 不 
要 放弃 。 只 要 坚持 ， 总 有 一 天 当 你 回 过 头 来 看 时 ， 会 为 当初 选择 坚持 感到 高 兴 的 。 一 旦 你 理解 了 子 网 
划分 ， 就 会 奇怪 当初 怎么 会 认为 它 很 难 。 准 备 好 了 吗 ? 我 们 开始 吧 。 


有 关 本 章 内 容 的 最 新 修订 ,请 访问 www.lammle.com 或 www.sybex.comygo/ccna7e。 
注意 


4.1 子 网 划分 基础 


在 第 3 章 ， 你 学 习 了 如 何 定义 和 找 出 A 类 、B 类 和 C 类 网 络 的 合法 主机 ID 范围 ， 其 方法 是 先 将 
所 有 主机 位 都 设置 为 0， 再 将 它们 都 设置 为 1。 非 常 好 ， 但 这 里 有 一 个 问题 : 你 只 是 在 定义 一 个 网 络 。 
如 果 要 使 用 一 个 网 络 地 址 创建 6 个 网 络 ， 该 如 何 办 呢 ? 必须 进行 子 网 划分 ， 它 让 你 能 够 将 大 型 网 络 划 
分 成 一 系列 小 网 络 。 
进行 子 网 划分 的 原因 很 多 ， 其 中 包括 如 下 好 处 。 
口 减少 网 络 流量 无 论 什么 样 的 流量 ， 我 们 都 希望 它 少 些 ， 网 络 流量 亦 如 此 。 如 果 没有 可 信赖 
的 路 由 器 ， 网 络 流量 可 能 导致 整个 网 络 停顿 ， 但 有 了 路 由 器 后 ， 大 部 分 流量 都 将 呆 在 本 地 网 
络 内 ， 只 有 前 往 其 他 网 络 的 分 组 将 穿越 路 由 器 。 路 由 器 增加 广播 域 ， 广 播 域 越 多 ， 每 个 广播 


96 第 4 章 ”轻松 划分 子 网 


域 就 越 小 ， 而 每 个 网 段 的 网 络 流量 也 越 少 。 
口 优化 网 络 性 能 ”这 是 减少 网 络 流量 的 结果 。 
口 简化 管理 与 庞大 的 网 络 相 比 ， 在 一 系列 相连 的 小 网 络 中 找 出 并 隔离 网 络 问 题 更 容易 。 
口 有 助 于 覆盖 大 型 地 理 区 域 ”WAN 链 路 比 LAN 链 路 的 速度 慢 得 多 ， 且 更 昂贵 单个 大 跨度 的 
大 型 网 络 在 前 面 说 的 各 个 方面 都 可 能 出 现 问题 ， 而 将 多 个 小 网 络 连 接 起 来 可 提高 系统 的 效率 。 
接 下 来 的 几 节 将 介绍 子 网 划分 。 这 些 内 容 很 重要 ， 你 准备 好 了 吗 ? 


4.1.1 ip subnet-zero 


ip subnet-zero 并 非 新 命令 。 在 以 前 ， 思 科 课 件 和 思科 考试 目标 都 未 涉及 它 ， 但 现在 已 将 其 包 
含 在 其 中 。 这 个 命令 让 你 能 够 在 网 络 设计 中 使 用 第 一 个 子 网 和 最 后 一 个 子 网 。 例 如 ，C 类 子 网 掩 码 
255.255.255.192 提供 了 子 网 64 和 128 (这 将 在 本 章 后 面 详细 讨论 )， 但 配置 命令 ip subnet-zero 后 ， 
将 可 使 用 子 网 0、64、128 和 192。 也 就 是 说 ， 这 让 每 个 子 网 掩 码 提 供 的 子 网 多 了 两 个 。 

虽然 第 6 章 才 会 讨论 CLI ( Command Line Interface， 命 令 行 界面 )， 但 你 现在 必须 熟悉 这 个 命令 : 

P1R1#sh running-config 

Building configuration.. 

Current configuration : 827 bytes 

1 

hostname PodlR1 

! 


ip subnet-zero 


上 述 路 由 器 输出 表明 , 路 由 器 上 启用 了 命令 ip subnet-zero。 从 CiscoIOS 12x 
注意 ” 版 起 ， 该 命令 便 被 默认 启用 了 。 
为 思科 考试 做 准备 时 ， 请 务必 了 解 Cisco 是 否 要 求 你 握 弃 ip subnet-zero。 有 
时 候 可 能 出 现 这 样 的 情况 。 


4.1.2 如何 创建 子 网 


要 创建 子 网 ， 我 们 可 借用 他 地 址 中 的 主机 位 ,将 其 用 于 定义 子 网 地 址 。 这 意味 着 主机 位 更 少 了 
因此 子 网 越 多 ， 可 用 于 定义 主机 的 位 越 少 。 


在 本 章 后 面 ， 你 将 学 习 如 何 创建 子 
当前 的 需求 并 规划 未 来 。 


Bo | 一 


进行 前 , 需要 确定 


设计 并 创建 子 网 掩 码 前 ， 你 需要 知道 的 是 ， 在 本 节 将 讨论 的 分 类 路 由 选择 中 ， 
注意 网络 中 所 有 的 主机 (节点 ) 都 使 用 相同 的 子 网 掩 码 。 介 绍 VLSM ( Variable Length 


Subnet Mask， 变 长 子 网 掩 码 ) 时 ， 我 们 将 讨论 无 类 路 由 选择 ， 这 意味 着 每 个 网 段 可 
使 用 不 同 的 子 网 掩 码 。 
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要 创建 子 网 ， 我 们 可 采取 如 下 步骤 : 
(1) 确定 需要 的 网 络 ID 数 : 

口 每 个 LAN 子 网 一 个 ; 

口 每 条 广域网 连接 一 个 。 

(2) 确定 每 个 子 网 所 需 的 主机 DD 数 ; 
口 每 个 TCP/IP 主机 一 个 ; 
口 每 个 路 由 器 接口 一 个 。 

(3) 根据 上 述 需 求 ， 确 定 如 下 内 容 : 
口 一 个 用 于 整个 网 络 的 子 网 掩 码 ; 
口 每 个 物理 网 段 的 唯一 子 网 ID; 
口 每 个 子 网 的 主机 D 范围 。 


4.1.3 ” 子 网 掩 码 


要 让 子 网 划分 方案 管用 ， 网络 中 的 每 台 机 器 都 必须 知道 主机 地 址 的 哪 部 分 为 子 网 地 址 ， 这 是 通过 
给 每 台 机 器 分 配子 网 掩 码 实现 的 。 子 网 掩 码 是 一 个 长 32 位 的 值 , 让 人 P 分 组 的 接收 方 能 够 将 IP 地 址 的 
网 络 ID 部 分 和 主机 ID 部 分 区 分 开 来 。 

网 络 管理 员 创建 由 1 和 0 组 成 的 32 位 子 网 掩 码 ， 其 中 的 1 表示 下 地址 的 相应 部 分 为 网 络 地 址 或 
子 网 地 址 。 

并 非 所 有 网 络 都 需要 子 网 , 这 意味 着 网 络 可 使 用 默认 子 网 掩 码 。 这 相当 于 说 IP 地 址 不 包含 子 网 地 
址 。 表 4-1 列 出 了 A 类 、B 类 和 C 类 网 络 的 默认 子 网 掩 码 。 这 些 默认 子 网 掩 码 不 能 修改 ， 换 句 话 说 ， 
你 不 能 将 B 类 网 络 的 子 网 掩 码 设置 为 235.0.0.0。 如 果 试 图 这 样 做 ， 主 机 将 认为 这 是 非法 的 ， 根 本 不 让 
你 输入 。 对 于 A 类 网 络 ， 你 不 能 修改 其 子 网 掩 码 的 第 一 个 字 节 ， 即 其 第 一 个 字 节 必须 是 255。 同 样 ， 
你 不 能 将 子 网 掩 码 设置 为 255.255.255.255， 因 为 它 全 为 1， 是 一 个 广播 地 址 。B 类 网 络 的 子 网 掩 码 必 
须 以 255.255 打头 ， 而 C 类 网 络 的 子 网 掩 码 必须 以 255.255.255 打头 。 


表 4-1 默认 子 网 掩 码 


网 络 格 式 默认 子 网 掩 码 
A 类 network.node.node.node 255.0.0.0 
B 类 network.network.node.node, 255.255.0.0 
C 类 network.network.network.node 255.255.255.0 


理解 2 的 昨 ] 


进行 IP 子 网 划分 时 ， 你 必须 理解 并 记 住 2 的 矫 ， 这 很 重要 。 为 理解 2 的 畸 ， 请 记 住 ， 当 你 
看 到 一 个 数字 的 右上 方 有 另 一 个 数字 时 ( 称 为 指数 )， 表 示 应 将 该 数字 自 乘 右上 方 数字 指定 的 次 
数 。 例 如 ，23 表示 2x2x2， 结 果 为 8。 下 面 是 2 的 察 列表 ， 你 应 将 其 记 住 : 

2 = 23 = 

22=4 24= 16 
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25 = 32 2'° = 1024 
25=64 211 = 2048 
27= 128 22 = 4096 
28 = 256 223 = 8192 
2? = 512 224= 16384 


注意 ， 知 道 这 些 2 的 畦 值 会 有 所 帮助 ， 但 并 不 是 必需 的 ， 你 不 必 为 记 住 这 些 值 而 苦恼 。 下 面 
是 一 个 小 技巧 : 由 于 是 2 的 固 ， 因 此 后 一 个 界 是 前 一 个 的 两 倍 。 

例如 ， 要 获悉 2 的 值 ， 你 只 需 知 道 2 =256。 为 什么 呢 ? 因为 只 需 将 2 (256) 乘 以 2， 你 就 
可 得 到 2? 的 值 (512 )。 要 获悉 2 的 值 ， 我 们 只 需 将 2*( 256 ) 翻 两 番 。 

相反 ， 如 果 要 知道 2 的 值 ， 你 只 需 将 256 除 以 2 两 次 : 第 一 次 结果 为 27 的 值 ， 而 第 二 次 结 
果 为 26 的 值 。 


4.1.4 CIDR 


你 需要 熟悉 的 另 一 个 术语 是 CIDR ( Classless Inter-Domain Routing, 无 类 域 间 路 由 选择 ), 它 是 ISP 
(Internet Service Provider， 因 特 网 服务 提供 商 ) 用 来 将 大 量 地 址 分 配给 客户 的 一 种 方法 。ISP 以 特定 大 
小 的 块 提供 地 址 ， 本 章 后 面 将 对 此 做 详细 介绍 。 

从 ISP 那里 获得 的 地 址 块 类 似 于 192.168.10.32/28， 这 指出 了 子 网 掩 码 。 这 种 斜 杠 表示 法 〈(/) 指 
出 了 子 网 掩 码 中 有 和 多少 位 为 1， 显 然 最 大 为 /32， 因 为 一 个 字 节 为 8 位 , 而 IP 地 址 长 4B (4 x 8=32)。 
注意 ， 最 大 的 子 网 掩 码 为 /32 (不管 是 哪 类 地 址 )， 因 为 至 少 需要 将 两 位 用 作 主 机 位 。 

在 A 类 网 络 的 默认 子 网 掩 码 255.0.0.0 中 ， 第 一 个 字 节 全 为 1， 即 11111111。 使 用 斜 杠 表示 法 时 ， 
你 需要 计算 为 1 的 位 有 多 少 个 。255.0.0.0 的 斜 杠 表示 法 为 /8， 因 为 有 8 个 取 值 为 1 的 位 。 

B 类 网 络 的 默认 子 网 掩 码 为 255.255.0.0 ， 其 斜 杠 表示 法 为 /16， 因 为 有 16 个 取 值 为 1 的 位 : 
11111111.11111111.00000000.00000000。 

表 4-2 列 出 了 所 有 可 能 的 子 网 掩 码 及 其 CIDR 斜 杠 表示 法 。 


表 4-2 CIDR 值 
子 网 撩 码 CIDR 值 
255.0.0.0 /8 
255.128.0.0 /9 
255.192.0.0 /10 
255.224.0.0 /11 
255.240.0.0 /112 
255.248.0.0 /13 
255.252.0.0 /14 
255.254.0.0 /15 
255.255.0.0 /16 
.255.255.128.0 /17 
255.255.192.0 | /18 
255.255.224.0 /19 


255.255.240.0 /20 
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( 续 ) 
子 网 撞 码 CIDR 值 
255.255.248.0 /21 
255.255.252.0 /22 
255.255.254.0 /23 
255.255.255.0 /24 
255.255.255.128 /25 
255.255.255.192 /26 
255.255.255.224 /27 
255.255.25$.240 /28 
255.255.255.248 /29 
255.255.255.252 /30 


其 中 /8 一 /15 只 能 用 于 A 类 网 络 , /16-/23 可 用 于 A 类 和 了 B 类 网 络 ， 而 /24~/30 可 用 于 A 类 、B 类 
和 C 类 网络 。 这 就 是 大 多 数 公司 都 使 用 A 类 网 络 地 址 的 一 大 原因 ， 因 为 它们 可 使 用 所 有 的 子 网 掩 码 ， 
进行 网 络 设计 时 的 灵活 性 最 大 。 


配置 思科 路 由 器 时 ， 你 不 能 使 用 斜 杆 表示 法 。 难 道 这 样 不 好 吗 ? 尽管 如 此 ， 你 
注意 仍 需 知道 子 网 掩 码 的 斜 杠 〔CIDR ) 表示 法 ， 这 非常 重要 。 


4.1.5 C 类 网 络 的 子 网 划分 


进行 子 网 划分 的 方法 有 很 多 ， 最 适合 你 的 方式 就 是 正确 的 方式 。 在 C 类 地 址 中 ， 只 有 8 位 用 于 定 
义 主 机 。 注 意 ， 子 网 位 从 左 向 右 延 伸 ， 中 间 不 能 留 空 ， 这 意味 着 只 能 有 如 下 C 类 子 网 掩 码 : 


二 进 制 十 进 制 CIDR 
00000000 = 0 /24 
10000000 = 128 /25 
11000000 = 192 /26 
11100000 = 224 /27 
11110000 = 240 /28 
11111000 = 248 /29 
11111100 = 252 /30 


你 不 能 使 用 /31 和 /32， 因 为 至 少 需要 2 个 主机 位 ,这 样 才 有 可 供 分 配给 主机 的 下 地址 。 对 于 C 类 
网 络 中 ,以 前 我 从 不 讨论 /25， 因 为 思科 以 前 一 直 要 求 至 少 有 两 个 子 网 位 , 但 现在 思科 在 其 课程 和 考试 
目标 中 包含 了 命令 ip subnet-zero， 因 此 子 网 位 可 以 只 有 1 位 。 

在 接 下 来 的 几 节 中 ,我 将 介绍 一 种 子 网 划分 方法 ， 让 你 能 够 快速 而 轻松 地 划分 子 网 。 请 相信 我 ， 
你 需要 快速 划分 子 网 。 

1.C 类 网 络 的 快速 子 网 划分 

给 网 络 选择 子 网 掩 码 后 ,需要 计算 该 子 网 掩 码 提供 的 子 网 数 以 及 每 个 子 网 的 合法 主机 地 址 和 广播 
地 址 。 为 此 ， 你 只 需 回答 下 面 5 个 简单 的 问题 。 
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口 选 定 的 子 网 掩 码 将 创建 多 少 个 子 网 ? 
口 每 个 子 网 可 包含 多 少 台 主 机 ? 
口 有 哪些 合法 的 子 网 ? 
口 每 个 子 网 的 广播 地 址 是 什么 ? 
口 每 个 子 网 可 包含 哪些 主机 地 址 ? 
在 这 里 , 理解 并 牢记 2 的 寡 很 重要 。 如 果 你 需要 帮助 , 请 参阅 本 章 前 面 的 补充 内 容 “ 理 解 2 的 寡 ”。 
下 面 来 看 如 何 解答 上 面 的 五 大 问题 。 
口 多 少 个 子 网 ? 2 个 ， 其 中 x 为 被 遮盖 ( 取 值 为 1 ) 的 位 数 。 例 如 ， 在 11000000 中 ， 取 值 为 1 
的 位 数 为 2， 因 此 子 网 数 为 2 (4 个 )。 
口 每 个 子 网 可 包含 多 少 台 主机 ? 2 -2 个 ,其 中 y 为 未 遮盖 ( 取 值 为 0 ) 的 位 数 。 例 如 , 在 11000000 
中 ， 取 值 为 0 的 位 数 为 6， 因 此 每 个 子 网 可 包含 的 主机 数 为 2 - 2 ( 62 ) 个 。 减 去 的 两 个 为 子 
网 地 址 和 广播 地 址 ， 它 们 不 是 合法 的 主机 地 址 。 
口 有 哪些 合法 的 子 网 ? 块 大 小 ( 增 量 ) 为 256- 子 网 掩 码 。 一 个 例子 是 256 -192 = 64， 即 子 网 掩 
码 为 192 时 ， 块 大 小 为 64。 从 0 开始 不 断 增 加 64， 直 到 到 达 子 网 掩 码 值 ， 中 间 的 结果 就 是 子 
网 ， 即 0、64、128. 和 192， 是 不 是 很 容易 ? 
口 每 个 子 网 的 广播 地 址 是 什么 ? 这 很 容易 确定 。 前 面 确定 了 子 网 为 0、64、128 和 192， 而 广播 
地 址 总 是 下 一 个 子 网 前 面 的 数 。 例 如 ， 子 网 0 的 广播 地 址 为 63 ， 因 为 下 一 个 子 网 为 64; 子 网 
64 的 广播 地 址 为 127， 因 为 下 一 个 子 网 为 128， 以 此 类 推 。 请 记 住 ， 最 后 一 个 子 网 的 广播 地 址 
总 是 255。 
口 合法 的 主机 地 址 有 哪些 ? 合法 的 主机 地 址 位 于 两 个 子 网 之 间 ， 但 全 为 0 和 全 为 1 的 地 址 除外 。 
例如 ， 如 果子 网 号 为 64， 而 广播 地 址 为 127， 则 合法 的 主机 地 址 范围 为 64$ 一 126， 即 子 网 地 址 
和 广播 地 址 之 间 的 数字 。 
我 知道 ， 这 看 起 来 令 人 迷惑 ， 但 绝对 不 像 乍 一 看 时 那么 难 。 为 何不 尝试 做 些 练习 ， 亲 自 检 验 一 
下 呢 ? 
2. C 类 网 络 子 网 划分 示例 
下 面 轮 到 你 使 用 前 面 介 绍 的 方法 练习 C 类 网 络 的 子 网 划分 了 。 是 不 是 有 些 激动 ? 我 们 将 从 第 一 个 
可 用 的 C 类 子 网 掩 码 开 始 ， 依 次 尝试 每 个 可 用 的 C 类 子 网 掩 码 。 然 后 ， 我 将 通过 演示 告诉 你 对 A 类 
和 了 B 类 网 络 进行 子 网 划分 也 很 容易 。 
@ 示例 #1C: 255.255.255.128 (/25) 
128 的 二 进 制 表示 为 10000000， 只 有 1 位 用 于 定义 子 网 , 余下 7 位 用 于 定义 主机 。 这 里 将 对 C 类 
网 络 192.168.10.0 进行 子 网 划分 。 
网 络 地 址 = 192.168.10.0 
子 网 掩 码 = 255.255.255.128 
下 面 来 回答 前 面 的 五 大 问题 。 
口 多 少 个 子 网 ? 在 128 ( 10000000 ) 中 ， 取 值 为 1 的 位 数 为 1， 因 此 答案 为 2 = 2。 
口 每 个 子 网 多 少 台 主机 ? 有 7 个 主机 位 取 值 为 0 ( 10000000 )， 因 此 答案 是 27 - 2 = 126 台 主 机 。 
口 有 哪些 合法 的 子 网 ? 256- 128 = 128。 还 记得 吗 ， 我 们 需要 从 0 开始 不 断 增加 块 大 小 ， 因 此 子 
网 为 0 和 128。 
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口 每 个 子 网 的 广播 地 址 是 什么 ? 在 下 一 个 子 网 之 前 的 数字 中 , 所 有 主机 位 的 取 值 都 为 1, 是 当前 
子 网 的 广播 地 址 。 对 于 子 网 0， 下 一 个 子 网 为 128 ， 因 此 其 广播 地 址 为 127。 

口 每 个 子 网 包含 哪些 合法 的 主机 地 址 ? 合法 的 主机 地 址 为 子 网 地 址 和 广播 地 址 之 间 的 数字 。 要 
确定 主机 地 址 ， 最 简单 的 方法 是 写 出 子 网 地 址 和 广播 地 址 ， 这 样 合法 的 主机 地 址 就 显而易见 
了 。 下 面 列 出 了 子 网 0 和 128 以 及 它们 的 合法 主机 地 址 范围 和 广播 地 址 。 


于 网 128 


TEA 


地 -个 主机 
广播 地 址 255 


介绍 下 一 个 示例 前 ,我 们 先 来 看 看 图 4-1。 显 然 ， 其 中 使 用 子 网 掩 码 /25 的 C 类 网 络 有 两 个 子 网 ， 
那 又 怎样 ? 为 何 这 很 重要 ? 实际 上 ， 不 重要 ， 这 不 是 重点 所 在 。 你 真正 想 知道 的 是 ， 将 如 何 使 用 这 种 
信息 ! 从 图 4-1 可 知 ， 两 个 子 网 都 与 路 由 器 接口 相连 ， 路 由 器 创建 了 广播 域 和 子 网 。 我 们 可 使 用 命令 
show ip route 查看 路 由 器 的 路 由 选择 表 ， 这 将 在 本 书后 面 详细 介绍 。 


.4 .130 131 .132 


加， 加 加 
Es Ee 2 二 sy > -= ] 
| | cs | gl | 
192.168.10.0 1 W176 192.168.10.128 


Router#show ip route 

[output cut] 

C 192.168.10.0 is directly connected to Ethernet 0 
C 192.168.10.128 is directly connected to Ethernet 1 


图 4-1 实现 使 用 子 网 掩 码 /25 的 C 类 网 络 


我 知道 ， 并 非 每 位 读者 都 想 此 时 休息 一 会 儿 , 但 下 面 的 内 容 确 实 很 重要 ， 请 在 这 里 暂停 一 会 儿 ， 
然后 再 继续 学 习 子 网 划分 。 你 需要 知道 的 是 ， 要 理解 子 网 划分 ， 关 键 在 于 明白 这 样 做 的 每 个 原因 。 
我 将 通过 组 建 一 个 物理 网 络 演示 这 一 点 。 添 加 路 由 器 后 ， 我 们 就 有 了 一 个 互联 网 络 ， 但 愿 你 知道 这 
一 点 。 添 加 路 由 器 后 ， 为 让 互联 网 络 中 的 主机 能 够 相互 通信 ， 我 们 必须 使 用 一 种 逻辑 网 络 编 址 方案 。 
为 此 , 可 使 用 IPv6, 但 IPv4 仍 是 最 流行 的 ， 且 我 们 当前 讨论 的 也 是 IPv4， 因 此 将 使 用 它 。 现 在 回 过 
头 来 看 看 图 4-1， 其 中 有 两 个 物理 网 络 ， 因 此 我 们 将 实现 一 种 支持 两 个 逻辑 网 络 的 逻辑 编 址 方案 。 展 
望 未 来 并 考虑 可 能 的 扩容 ( 包括 短期 和 长 期 ) 总 是 一 个 不 错 的 主意 ， 就 这 里 而 言 ， 使 用 子 网 掩 码 /25 
就 可 以 了 。 

@ 示例 #2C: 255.255.255.192 (/26) 

在 第 二 个 示例 中 ， 我 们 将 使 用 子 网 掩 码 255.255.255.192 对 网 络 192.168.10.0 进行 子 网 划分 。 

网 络 地 址 = 192.168.10.0 

子 网 掩 码 = 255.255.255.192 

下 面 来 回答 五 大 问题 。 
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口 多 少 个 子 网 ? 在 192 ( 11000000 ) 中 ， 取 值 为 1 的 位 数 为 2， 因此 答案 为 2 = 4 个 子 网 。 

口 每 个 子 网 多 少 台 主机 ? 有 6 个 主机 位 的 取 值 为 0 ( 11000000 )， 因 此 答案 是 24-2= 62 台 主 机 。 

口 有 哪些 合法 的 子 网 ? 256 - 192 = 64。 还 记得 吗 ， 我 们 需要 从 0 开始 不 断 增 加 块 大 小 ， 因 此 子 
网 为 0、64、128 和 192。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 在 下 一 个 子 网 之 前 的 数字 中 , 所 有 主机 位 的 取 值 都 为 1, 是 当前 
子 网 的 广播 地 址 。 对 于 子 网 0， 下 一 个 子 网 为 4， 因此 其 广播 地 址 为 63。 

口 合法 的 主机 地 址 有 哪些 ? 合法 的 主机 地 址 为 子 网 地 址 和 广播 地 址 之 间 的 数字 。 要 确定 主机 地 
址 ， 最 简单 的 方法 是 写 出 子 网 地 址 和 广播 地 址 ， 这 样 合法 的 主机 地 址 就 显而易见 了 。 下 面 列 
出 了 子 网 0、64、128 和 192 以 及 它们 的 合法 主机 地 址 范围 和 广播 地 址 : 


子 网 (第 ! 步 ) 
第 一 个 主机 地 址 (最 后 一 步 ) 


最 后 一 个 主机 地 址 
广播 地 址 (第 2 步 ) 


同样 ， 现 在 你 能 够 使 用 子 网 掩 码 /26 划分 子 网 了 。 进 入 下 一 个 示例 前 ， 如 何 使 用 这 些 信息 呢 ? 答 
案 是 实现 子 网 划分 。 我 们 将 使 用 图 4-2 练习 实现 /26 子 网 划分 。 


.66 .67 3 .130 
el 
192.168.10.64 


2 


192.168.10.0 
Router#show ip route 
[output cut] 
C 192.168.10.0 is directly connected to Ethernet 0 
C 192.168.10.64 is directly connected to Ethernet1 
C 192.168.10.128 is directly connected to Ethernet2 


4-2 实现 C 类 /26 逻辑 网 络 
子 网 掩 码 /26 提供 了 4 个 子 网 ， 每 个 路 由 器 接口 都 需要 一 个 子 网 。 使 用 这 种 子 网 掩 码 时 ， 这 个 示 
例 还 有 添加 另 一 个 路 由 器 接口 的 空间 。 
@ 示例 #3C: 255.255.255.224 (/27) 
这 次 我 们 将 使 用 子 网 掩 码 255.255.255.224 对 网 络 192.168.10.0 进行 子 网 划分 。 
网 络 地 址 = 192.168.10.0 
子 网 掩 码 = 255.255.255.224 
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口 多 少 个 子 网 ?224 的 二 进 制 表示 为 11100000， 因 此 答案 为 22 = 8 个子 网 。 

口 每 个 子 网 多 少 台 主 机 ? 25 -2= 30。 

口 有 哪些 合法 的 子 网 ? 256 - 224 = 32。 我 们 需要 从 0 开始 不 断 增加 块 大 小 32， 直 到 到 达 子 网 掩 

码 值 ， 因 此 子 网 为 0、32、64、96、128、160、192 和 224。 

口 每 个 子 网 的 广播 地 址 是 什么 ( 总 是 下 一 个 子 网 之 前 的 数字 ) ? 

口 每 个 子 网 包含 哪些 合法 的 主机 地 址 (合法 的 主机 地 址 为 子 网 地 址 和 广播 地 址 之 间 的 数字 ) ? 

要 回答 最 后 两 个 问题 ,首先 写 出 子 网 ， 再 写 出 广播 地 址 一 一 下 一 个 子 网 之 前 的 数字 ， 最 后 填写 主 
机 地 址 范围 。 下 面 列 出 了 在 C 类 网 络 中 使 用 子 网 掩 码 255.255.255.224 得 到 的 所 有 子 网 。 


人 wn | | 


广播 地 址 


@ 示例 #4C: 255.255.255.240 (/28) 
再 来 看 一 个 示例 : 

网 络 地 址 = 192.168.10.0 

子 网 掩 码 = 255.255.255.240 


口 多 少 个 子 网 ? 240 的 二 进 制 表示 为 11110000， 答 案 为 24 = 16 个 子 网 。 

口 每 个 子 网 多 少 台 主 机 ? 主机 位 为 4 位 ， 答 案 为 2 -2= 14。 

口 有 哪些 合法 的 子 网 ? 256 - 240 = 16。 从 0 开始 数 ， 每 次 增加 16: 0+16=16、16+16=32、 
32+16=48、48+16=64、64+16=80、80+16=96、96+16=112、112+16= 128、128 + 
16=144、144+ 16= 160、160+ 16= 176、176+16 = 192、192 + 16= 208、208 + 16 = 224、 
224 + 16 = 240。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 表 回 答 了 最 后 两 个 问题 ， 它 列 出 了 所 有 子 网 以 及 每 个 子 网 的 合法 主机 地 址 和 广播 地 址 。 首 先 ， 
使 用 块 大 小 〈 增 量 ) 确定 每 个 子 网 的 地 址 ; 然后 ， 确 定 每 个 子 网 的 广播 地 址 ( 它 总 是 下 一 个 子 网 之 前 
的 数字 ); 最 后 ， 填 充 主机 地 址 范围 。 下 表 列 出 了 在 C 类 网 络 中 使 用 子 网 掩 码 255.255.255.240 得 到 的 
子 网 、 主 机 地 址 和 广播 地 址 。 


EE | 亚 | 训 | 可 | 天 
第 一 个 主 
机 地 址 17 33 81 | 97 145 177 | 193 | 209 | 225 | 241 
后 一 个 
主机 地 址 14 30 6 62 8 222 | 238 | 254 


和 


Ep 
| 


小 


In 
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思科 发 现 ， 大 多 数 人 都 不 会 计算 16 的 倍数 ， 因 此 难以 确定 使 用 子 网 掩 码 
提示 。 255.255.255.240 时 C 类 网 络 包含 的 子 网 、 主 机 地 址 和 广播 地 址 。 你 最 好 仔细 研究 该 
子 网 掩 码 。 


@ 示例 #5C: 255.255.255.248 (/29) 

继续 练习 : 

网 络 地 址 = 192.168.10.0 

子 网 掩 码 = 255.255.255.248 

口 多 少 个 子 网 ? 248 的 二 进 制 表示 为 11111000， 答 案 为 2” = 32 个 子 网 。 

口 每 个 子 网 多 少 台 主机 ? 2 -2=6。 

口 有 哪些 合法 的 子 网 ? 256 - 248 = 8， 因 此 合法 的 子 网 为 0、8、16、24、32、40、48、56、64、 


72、80、88、96、104、112、120、128、136、144、152、160、168、176、184、192、200、 
208、216、224、232、240 和 248。 


口 每 个 子 网 的 广播 地 址 是 什么 ? 
口 合法 的 主机 地 址 是 什么 ? 
下 面 列 出 了 使 用 子 网 掩 码 255.255.255.248 时 ， 
以 及 它们 的 主机 地 址 范围 和 广播 地 址 。 


南 ED EE 7 EE 
| | | rs | | | | | 
MT | | a | 


该 C 类 网 络 包含 的 部 分 子 网 (前 4 个 和 最 后 4 个 ) 


如 果 你 给 路 由 器 接口 配置 地 址 192.168.10.6 255.255.255.248, 于 证 观 各 下 名 广 ) 消息 
Bad mask /29 for address 192.168.10.6 


这 表明 没有 启用 命令 ip subnet-zero。 要 知道 这 里 使 用 的 地 址 属于 子 网 0， 你 必 
须 能 够 划分 子 网 。 


@ 示例 #6C: 255.255.255.252 (/30) 
再 看 一 个 示例 : 


网 络 地 址 = 192.168.10.0 

子 网 掩 码 = 255.255.255.252 

口 多 少 个 子 网 ? 64。 

口 每 个 子 网 多 少 台 主机 ? 2。 

口 有 哪些 合法 的 子 网 ? 0、4、8、12、…… 、252。 

口 每 个 子 网 的 广播 地 址 是 什么 (总 是 下 一 个 子 网 之 前 的 数字 ) ? 
口 合法 的 主机 地 址 是 什么 ( 子 网 号 和 广播 地 址 之 间 的 数字 ) ? 
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下 面 列 出 了 使 用 子 网 掩 码 255.255.255.252 时 ， 该 C 类 网 络 包 含 的 部 分 子 网 (前 4 个 和 最 后 4 个 ) 
以 及 它们 的 主机 地 址 范围 和 广播 地 址 。 


ENE 
EE 
| sl «| -| | | | | 
7 rs |w|wm | | 
3. 在 脑海 中 对 C 类 网 络 进行 子 网 划分 “到 
你 完全 可 以 在 脑海 中 进行 子 网 划分 。 如 果 你 不 相信 , 我 将 证 明 这 一 点 。 这 并 没有 你 想象 中 那么 难 ， 
请 看 下 例 : 
节点 地 址 = 192.168.10.33 
子 网 掩 码 = 255.255.255.224 
首先 ,确定 该 下 地 址 所 属 的 子 网 以 及 该 子 网 的 广播 地 址 。 为 此 , 请 回答 五 大 问题 中 的 第 三 个 。 256 一 
224 = 32， 因 此 子 网 为 0、32、64 等 。 地 址 33 位 于 子 网 32 和 64 之 间 ， 因 此 属于 子 网 192.168.10.32。 下 
一 个 子 网 为 4， 因 此 子 网 32 的 广播 地 址 为 63( 别 忘 了 ， 广 播 地 址 总 是 下 一 个 子 网 之 前 的 数字 )。 合 法 
的 主机 地 址 范围 为 33 ~62( 子 网 和 广播 地 址 之 间 的 数字 )。 这 太 简 单 了 。 


应 使 用 每 个 子 网 只 支持 两 台 主 机 的 子 网 撩 码 吗 ? 


你 是 位 于 旧金山 的 Acme Coporation 的 一 名 网 络 管理 员 ， 该 公司 有 数 十 条 WAN 链 路 连接 到 
你 所 属 的 分 支 机 构 。 当 前 ， 该 公司 的 网 络 为 分 类 网 络 ， 这 意味 着 每 台 主 机 和 路 由 器 接口 使 用 的 子 
网 掩 码 都 相同 。 你 通过 学 习 获 知 ， 使 用 无 类 路 由 选择 时 ， 可 使 用 不 同 的 子 网 揪 码 ， 但 不 知道 在 点 


到 点 WAN 链 路 上 使 用 什么 样 的 子 网 掩 码 。 在 这 种 情形 下 ， 使 用 子 网 掩 码 255.255.255.252 ( /30 ) 
可 行 吗 ? 


是 的 ， 这 是 一 个 非常 适合 用 于 广域网 的 子 网 掩 码 。 

如 果 你 使 用 子 网 掩 码 255.255.255.0， 每 个 子 网 将 包含 254 个 主机 地 址 ， 但 一 条 WAN 链 路 只 
占用 其 中 的 两 个 ,这 将 浪费 252 个 主机 地 址 。 如 果 使 用 子 网 掩 码 255.255.255.252， 每 个 子 网 将 只 
有 两 个 主机 地 址 ， 因 此 不 会 浪费 宝贵 的 地 址 。 这 是 一 个 很 重要 的 主题 ,下 一 章 中 有 关 VLSM 网 络 
设计 的 一 节 将 更 详细 地 介绍 它 。 


下 面 是 男 一 个 示例 ， 它 使 用 了 另 一 个 子 网 掩 码 : 

节点 地 址 = 192.168.10.33 

子 网 掩 码 = 255.255.255.240 

该 卫 地 址 属于 哪个 子 网 ? 该 子 网 的 广播 地 址 是 什么 ? 256 - 240= 16， 因 此 子 网 为 0、16、32、48 
等 。 主 机 地 址 33 位 于 子 网 32 和 48 之 间 ， 因 此 属于 子 网 192.168.10.32。 下 一 个 子 网 为 48， 因 此 该 子 网 的 
广播 地 址 为 47。 合 法 的 主机 地 址 范围 为 33 一 46〈 子 网 和 广播 地 址 之 间 的 数字 )。 
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为 掌握 这 种 技巧 ， 你 需要 做 更 多 的 练习 。 

假设 节点 地 址 为 192.168.10.174， 子 网 掩 码 为 255.255.255.240。 合 法 的 主机 地 址 范围 是 多 少 呢 ? 

子 网 掩 码 为 240， 因 此 将 256 减 去 240， 结果 为 16， 这 是 块 大 小 。 要 确定 所 属 的 子 网 ， 只 需 从 零 
开始 不 断 增 加 16, 并 在 超过 主机 地 址 174 后 停止 : 0、16、32、48、64、80、96、112、128、144、160、 
176 等 。 主 机 地 址 174 位 于 160 和 176 之 间 ， 因 此 所 属 的 子 网 为 160。 广 播 地 址 为 175, 合法 的 主机 地 
址 范围 为 161 ~174。 这 个 比较 难 。 

再 来 看 一 个 示例 ， 这 是 所 有 C 类 子 网 划分 中 最 容易 的 : 

节点 地 址 = 192.168.10.17 

子 网 掩 码 = 255.255.255.252 

该 下地 址 属于 哪个 子 网 ? 该 子 网 的 广播 地 址 是 什么 ? 256 - 252= 4， 因 此 子 网 为 0、4、8、12、 
16、20 等 (除非 专门 指出 ， 否 则 总 是 从 0 开始 )。 主 机 地 址 17 位 于 子 网 16 和 20 之 间 ， 因 此 属于 子 网 
192.168.10.16， 而 该 子 网 的 广播 地 址 为 19。 合 法 的 主机 地 址 范围 为 17 一 18。 

有 关 C 类 网 络 的 子 网 划分 就 介绍 到 这 里 ,下面 将 介绍 B 类 网 络 的 子 网 划分 , 但 在 此 之 前 ,让 我 们 
简单 地 复习 一 下 。 

4. 学 到 的 东西 

这 里 将 应 用 所 学 的 知识 并 帮助 大 家 记忆 。 这 些 内 容 确实 很 好 ， 我 在 每 年 的 课堂 上 都 介绍 它们 ， 它 
们 确实 有 助 于 你 牢固 掌握 子 网 划分 。 

看 到 子 网 掩 码 或 其 斜 杠 表示 (CIDR ) 时 ， 你 应 知道 如 下 内 容 。 

对 于 /25， 你 应 知道 : 

口子 网 掩 码 为 128; 

口 1 位 的 取 值 为 1， 其 他 7 位 的 取 值 为 0 (10000000 ); 

口 块 大 小 为 128; 

口 2 个 子 网 ， 每 个 子 网 最 多 可 包含 126 台 主 机 。 

对 于 /26， 你 应 知道 : 

口 子 网 掩 码 为 192; 

口 2 位 的 取 值 为 1， 其 他 6 位 的 取 值 为 0 (11000000 ); 

口 块 大 小 为 64; 

口 4 个 子 网 ， 每 个 子 网 最 多 可 包含 62 台 主 机 。 

对 于 /27， 你 应 知道 : 

口 子 网 掩 码 为 224; 

口 3 位 的 取 值 为 1， 其 他 5 位 的 取 值 为 0 ( 11100000 ); 

口 块 大 小 为 32; 

口 8 个 子 网 ， 每 个 子 网 最 多 可 包 全 30 台 主 机 。 

对 于 /28， 你 应 知道 : 

口 子 网 掩 码 为 240; 

口 4 位 的 取 值 为 1， 其 他 4 位 的 取 值 为 0 (11110000 ); 

口 块 大 小 为 16; 

口 16 个 子 网 ， 每 个 子 网 最 多 可 包含 14 台 主 机 。 


4.1 子 网 划分 基础 107 


对 于 /29， 你 应 知道 : 

口 子 网 掩 码 为 248; 

口 5 位 的 取 值 为 1， 其 他 3 位 的 取 值 为 0 (11111000 ); 

口 块 大 小 为 8; 

口 32 个 子 网 ， 每 个 子 网 最 多 可 包含 6 台 主 机 。 

对 于 /30， 你 应 知道 : 

口 子 网 掩 码 为 252; 

口 6 位 的 取 值 为 1， 其 他 2 位 的 取 值 为 0 ( 11111100 ); 

口 块 大 小 为 4; 

口 64 个 子 网 ， 每 个 子 网 最 多 可 包含 2 台 主 机 。 

无 论 是 A 类 、B 类 还 是 C 类 网 络 ， 使 用 子 网 掩 码 /30 时 ， 每 个 子 网 都 只 包含 2 个 主机 地 址 。 这 种 
子 网 掩 码 只 适合 用 于 点 到 点 链 路 ， 思 科 也 是 这 样 建议 的 。 

本 节 内 容 对 日 常 工作 和 学 习 大 有 帮助 。 请 尝试 大 声 地 读 出 来 ， 这 有 助 于 记忆 。 如 果 你 在 网 络 领域 
工作 ， 这 可 能 帮助 同事 ， 在 他 们 以 为 你 忘记 了 这 些 内 容 的 同时 ， 他 们 却 记 下 来 了 。 如 果 你 还 未 进入 网 
络 领域 ， 并 为 进入 该 领域 而 学 习 ， 不 如 现在 就 让 人 觉得 你 是 个 怪人 ， 因 为 他 们 迟早 会 这 样 认为 的 。 

将 这 些 内 容 写 在 记忆 卡 上 ,并 让 他 人 帮助 检查 你 的 记忆 程度 也 很 有 帮助 。 如 果 能 记 住 块 大 小 以 及 
本 节 的 内 容 ， 你 将 惊奇 于 自己 完成 子 网 划分 的 速度 。 


4.1.6 B 类 网 络 的 子 网 划分 


深入 介绍 这 个 主题 前 ， 先 来 看 看 B 类 网 络 可 使 用 的 全 部 子 网 掩 码 。 注 意 ,与 C 类 网 络 相 比 ，B 类 
网 络 可 使 用 的 子 网 掩 码 多 得 多 : 
255.255.0.0 (/16) 


255.255.128.0 (/17) 255.255.255.0 (/24) 
255.255.192.0 (/18) 255.255.255.128 (/25) 
255.255.224.0 (/19) 255.255.255.192 (/26) 
255.255.240.0 (/20) 255.255.255.224 (/27) 
255.255.248.0 (/21) 255.255.255.240 (/28) 
255.255.252.0 (/22) 255.255.255.248 (/29) 
255.255.254.0 (〈/23) 255.255.255.252 (/30) 


你 知道 , 在 B 类 地 址 中 , 有 16 位 可 用 于 主机 地 址 。 这 意味 着 最 多 可 将 其 中 的 14 位 用 于 子 网 划分 ， 
因为 至 少 需要 保留 2 位 用 于 主机 编 址 。 使 用 /16 意味 着 不 对 B 类 网 络 进行 子 网 划分 ， 但 它 是 一 个 可 使 
用 的 子 网 掩 码 。 


顺便 说 一 句 ， 在 上 述 子 网 掩 码 列表 中 ， 你 注意 到 了 什么 有 趣 的 地 方 吗 ? 如 某 种 

注意 ”规律 ? 这 就 是 我 在 本 章 前 面 要 求 你 记 住 二 进 制 到 十 进 制 转换 表 的 原因 。 子 网 掩 码 位 
总 是 从 左 向 右 延 伸 ， 且 必须 是 连续 的 。 因 此 ， 不 管 是 哪 类 网 络 ， 总 有 部 分 子 网 掩 码 
是 相同 的 。 请 记 住 这 种 规律 。 
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B 类 网 络 的 子 网 划分 过 程 与 C 类 网 络 极 其 相似 ， 只 是 可 供 使 用 的 主机 位 更 多 一 一 从 第 三 个 字 节 
开始 。 

在 B 类 网 络 中 , 子 网 号 和 广播 地 址 都 用 2B 表示， 其 中 第 三 个 字 节 分 别 与 C 类 网 络 的 子 网 号 和 广 
播 地 址 相同 ， 而 第 四 个 字 节 分 别 为 0 和 255。 下 面 列 出 了 一 个 B 类 网 络 中 两 个 子 网 的 子 网 地 址 和 广播 
地 址 ， 该 网 络 使 用 子 网 掩 码 240.0 ( /20 ): 


子 网 地 址 16.0 32.0 
广播 地 址 31.255 47.255 


只 需 在 上 述 数字 之 间 添 加 有 效 的 主机 地 址 ， 我 们 就 大 功 告 成 了 ! 


上 述说 法 仅 当 子 网 掩 码 小 于 /24 时 才 正 确 ， 子 网 掩 码 不 小 于 /24 时 ，B 类 网 络 的 
注意 ” 子 网 地 址 和 广播 地 址 与 CC 类 网 络 完全 相同 。 


1. B 类 网 络 子 网 划分 示例 

在 接 下 来 的 几 节 中 , 你 将 有 机 会 练习 B 类 网 络 的 子 网 划分 。 需 要 重申 的 是 , 这 与 C 类 网 络 的 子 网 

划分 相同 ， 只 是 从 第 三 个 字 节 开始 ， 但 数字 是 完全 相同 的 。 

@ 示例 #1B: 255.255.128.0 (/17) 

网 络 地 址 = 172.16.0.0 

子 网 掩 码 = 255.255.128.0 

口 多 少 个 子 网 ? 2 =2 (与 C 类 网 络 相同 )。 

口 每 个 子 网 多 少 台 主机 ? 25 -2= 32766 (第 三 个 字 节 7 位 ， 第 四 个 字 节 8 位 )。 

口 有 哪些 合法 的 子 网 ? 256 - 128 = 128， 因 此 子 网 为 0 和 128。 鉴 于 子 网 划分 是 在 第 三 个 字 节 中 
进行 的 ， 因 此 子 网 号 实际 上 为 0.0 和 128.0， 如 下 面 所 示 。 这 些 数字 与 C 类 网 络 相 同 ， 我 们 将 
其 用 于 第 三 个 字 节 ， 并 将 第 四 个 字 节 设置 为 零 。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 面 列 出 了 这 两 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 


| 
| mm | 


注意 ， 只 需 添加 第 四 个 字 节 的 最 小 值 和 最 大 值 ， 我 们 就 得 到 了 答案 。 同 样 ， 这 里 的 子 网 划分 与 C 
类 网 络 相同 : 在 第 三 个 字 节 使 用 了 相同 的 数字 ， 但 在 第 四 个 字 节 添 加 了 0 和 255， 是 否 非常 简单 ? 这 
一 点 儿 也 不 难 ， 这 一 点 怎么 强调 都 不 过 分 。 数 字 没 有 变 ， 只 是 将 它们 用 于 不 同 的 字 节 1! 

@ 示例 #2B: 255.255.192.0 (/18) 

网 络 地 址 = 172.16.0.0 

子 网 掩 码 = 255.255.192.0 
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口 多 少 个 子 网 ? 22= 4。 

口 每 个 子 网 多 少 台 主机 ? 2!4-2= 16382 (第 三 个 字 节 6 位 ,第 四 个 字 节 8 位 )。 

口 有 哪些 合法 的 子 网 ? 256 - 192 = 64， 因 此 子 网 为 0、64、128 和 192。 鉴 于 子 网 划分 是 在 第 三 
个 字 节 中 进行 的 ， 因 此 子 网 号 实际 上 为 0.0、64.0、128.0 和 192.0， 如 下 面 所 示 。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 面 列 出 了 这 4 个 子 网 及 其 合法 主机 地 址 范围 和 广播 地 址 。 


最 后 一 个 主机 地 址 63.254 127.254 191.254 255.254 
广播 地 址 63.255 127.255 191.255 255.255 


同样 ， 这 与 C 类 网 络 子 网 划分 完全 相同 ， 只 是 在 每 个 子 网 的 第 四 个 字 节 分 别 添加 了 0 和 255。 

@ 示例 #3B: 255.255.240.0 (/20) 

网 络 地 址 = 172.16.0.0 

子 网 掩 码 = 255.255.240.0 

口 多 少 个 子 网 ? 2 = 16。 

口 每 个 子 网 多 少 台 主机 ? 22 -2= 4094。 

口 有 哪些 合法 的 子 网 ? 256 一 240= 16， 因 此 子 网 为 0、16、32、48 等 ， 直 到 240。 注 意 ， 这 些 数 
字 与 使 用 子 网 掩 码 240 的 C 类 子 网 完全 相同 ， 只 是 将 它们 用 于 第 三 个 字 节 ， 并 在 第 四 个 字 节 
分 别 添加 了 0 和 255。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 面 列 出 了 使 用 子 网 掩 码 255.255.240.0 时 ,该 B 类 网 络 包含 的 前 4 个 子 网 以 及 这 些 子 网 的 合法 主 
机 地 址 范围 和 广播 地 址 。 


个 主机 地 址 


最 后 一 个 主机 地 址 
广播 地 址 


@ 示例 #4B: 255.255.254.0 (/23) 

网 络 地 址 = 172.16.0.0 

子 网 掩 码 = 255.255.254.0 

口 多 少 个 子 网 ? 27 = 128。 

口 每 个 子 网 多 少 台 主机 ? 2? -2= 5$10。 

口 有 哪些 合法 的 子 网 ? 256- 254 = 2， 因 此 子 网 为 0、2、4、6、8、……… 254。 
口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 
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下 面 列 出 了 使 用 子 网 掩 码 255.255.254.0 时 ,该 B 类 网 络 包 含 的 前 5 个 子 网 以 及 这 些 子 网 的 合法 主 
机 地 址 范围 和 广播 地 址 。 


7 TE ET Ta 
RT 


@ 示例 #5B: 255.255.255.0 (/24) 

与 大 家 通常 认为 的 相反 ， 将 子 网 掩 码 255.255.255.0 用 于 B 类 网 络 时 ， 我 们 并 不 将 其 称 为 C 类 子 
网 掩 码 。 看 到 该 子 网 掩 码 用 于 B 类 网 络 时 , 很 多 人 都 认为 它 是 一 个 C 类 子 网 掩 码 , 这 太 奇怪 了 。 这 是 
一 个 将 8 位 用 于 子 网 划分 的 B 类 子 网 掩 码 ， 从 逻辑 上 说 ,， 它 不 同 于 C 类 子 网 掩 码 。 下 面 的 子 网 划分 非 
常 简单 : 

网 络 地 址 = 172.16.0.0 

子 网 掩 码 = 255.255.255.0 

口 多 少 个 子 网 ? 23 = 256。 

口 每 个 子 网 多 少 台 主机 ? 2 一 2 = 254。 

口 有 哪些 合法 的 子 网 ? 256 -255 = 1， 因 此 子 网 为 0、1、2、3、…… 、255。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 面 列 出 了 使 用 子 网 掩 码 255.255.255.0 时 , 该 B 类 网 络 包 含 的 前 4 个 和 后 2 个 子 网 以 及 这 些 子 网 
的 合法 主机 地 址 范围 和 广播 地 址 。 


Tw Ta Ta | Tao Ta | 
mo | a | | a | 
RT | 0% | 25 | 3250 | 35 | | 50254 | 255254 | 
rm | os | 12ss | 3255 | 3255 | ~ | 25425s | 255255 | 


@ 示例 #6B: 255.255.255.128 (/25) 

这 是 最 难处 理 的 子 网 掩 码 之 一 ,更 糟糕 的 是 , 它 是 一 个 非常 适合 生产 环境 的 子 网 掩 码 ， 因 为 它 可 
创建 500 多 个 子 网 ， 而 每 个 子 网 可 包含 126 台 主 机 种 不 错 的 组 合 。 因 此 ， 请 千 万 不 要 跳 过 这 个 
示例 ! 

网 络 地 址 = 172.16.0.0 

子 网 掩 码 = 255.255.255.128 

口 多 少 个 子 网 ? 2?= 512。 

口 每 个 子 网 多 少 台 主机 ? 27 一 2 = 126。 

口 有 哪些 合法 的 子 网 ? 这 是 比较 环 手 的 部 分 。256- 255 = 1, 因此 第 三 个 字 节 的 可 能 取 值 为 0、1、 

2、3 等 ; 但 别 忘 了 ， 第 四 个 字 节 还 有 一 个 子 网 位 。 还 记得 前 面 如 何在 C 类 网 络 中 处 理 只 有 一 
个 子 网 位 的 情况 吗 ? 这 里 的 处 理 方式 相同 。( 现在 你 知道 前 面 讨 论 C 类 网 络 的 子 网 划分 时 ， 为 
何 介绍 只 有 一 个 子 网 位 的 情形 了 一 一 让 这 部 分 更 容易 理解 。) 第 三 字 节 的 每 个 可 能 取 值 对 应 于 
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两 个 子 网 ， 因 此 总 共有 512 个 子 网 。 例如， 如 果 第 三 个 字 节 的 取 值 为 3， 则 对 应 的 两 个 子 网 为 
3.0 和 3.128。 


口 每 个 子 网 的 广播 地 址 是 什么 ? 
口 合法 的 主机 地 址 是 什么 ? 
下 面 列 出 了 使 用 子 网 掩 码 255.255.255.128 时 , 该 B 类 网 络 包含 的 前 8 个 和 后 2 个 子 网 以 及 这 些 子 
网 的 合法 主机 地 址 范围 和 广播 地 址 。 


me om fom fa rm fem] ee Te 
Brim | ow fu uw far fa [a fa [a fai 
re 00 [ 0257 | v5 | 125 | 2105 | 75 [105 [3250 | ~ | 10016 [205254 | 
ime [om 025 1m i255 [207 [20 [17 | 3255 | | 255107 | 105255 | 


@ 示例 #7B: 255.255.255.192 (/26) 

现在 ，B 类 网 络 的 子 网 划分 变 得 容易 了 。 在 该 子 网 掩 码 中 ， 第 三 个 字 节 为 255， 因 此 确定 子 网 时 ， 
第 三 个 字 节 的 可 能 取 值 为 0、1、2、3 等 。 然 而 ， 第 四 个 字 节 也 用 于 指定 子 网 ， 但 我 们 可 像 C 类 网 络 
的 子 网 划分 那样 确定 该 字 节 的 可 能 取 值 。 下 面 就 来 试 试 : 

网 络 地 址 = 172.16.0.0 

子 网 掩 码 = 255.255.255.192 

口 多 少 个 子 网 ? 2 = 1024。 

口 每 个 子 网 多 少 台 主机 ? 25- 2= 62。 

口 有 哪些 合法 的 子 网 ? 256 - 192 = 64， 合 法 的 子 网 如 下 面 所 示 。 你 对 这 些 数字 是 否 有 似曾相识 

之 感 ? 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 面 列 出 了 前 8 个 子 网 以 及 这 些 子 网 的 合法 主机 地 址 范围 和 广播 地 址 。 


注意 ， 确 定子 网 时 ， 对 于 第 三 个 字 节 的 每 个 可 能 取 值 ， 第 四 个 字 节 都 有 4 个 可 能 取 值 : 0、64、 
128 和 192。 


@ 示例 #8B: 255.255.255.224 (127 ) 


这 与 前 一 个 子 网 掩 码 的 处 理 方式 相同 ， 只 是 子 网 更 多 ， 而 每 个 子 网 可 包含 的 主机 更 少 。 
网 络 地 址 = 172.16.0.0 

子 网 掩 码 = 255.255.255.224 

口 多 少 个 子 网 ? 22 = 2048。 

口 每 个 子 网 多 少 台 主机 ? 25 -2= 30。 


112 第 4 章 轻松 划分 子 网 


口 有 哪些 合法 的 子 网 ? 256 一 224=32, 第 四 个 字 节 的 可 能 取 值 为 0、32、64、96、128、160、192 
和 224。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 面 列 出 了 前 8 个 子 网 以 及 这 些 子 网 的 合法 主机 地 址 范围 和 广播 地 址 。 


下 面 列 出 了 最 后 8 个 子 网 。 


2. 在 脑海 中 对 B 类 网 络 进行 子 网 划分 

你 疯 了 吗 ? 还 能 在 脑海 中 对 B 类 网 络 进行 子 网 划分 ? 这 实际 上 比 写 出 来 更 容易 一 一 我 不 是 在 开 
玩笑 ， 下 面 就 来 演示 。 

问题 : 172.16.10.33/27 属于 哪个 子 网 ? 该 子 网 的 广播 地 址 是 多 少 ? 

答案 : 这 里 只 需 考虑 第 四 个 字 节 。256- 224=32， 而 32+32=64。33 位 于 32 和 64 之 间 ， 但 子 网 
号 还 有 一 部 分 位 于 第 三 个 字 节 ,因此 答案 是 该 地 址 位 于 子 网 10.32 中 。 由 于 下 一 个 子 网 为 10.64, 该 子 
网 的 广播 地 址 为 10.63。 这 个 问题 非常 简单 。 

问题 : IP 地 址 172.16.66.10 255.255.192.0 (/18 ) 属于 哪个 子 网 ? 该 子 网 的 广播 地 址 是 多 少 ? 

答案 : 这 里 需要 考虑 的 是 第 三 个 字 节 ， 而 不 是 第 四 个 字 节 。256- 192 = 64, 因此 子 网 为 0.0、64.0、 
128.0 等 。 所 属 的 子 网 为 172.16.64.0。 由 于 下 一 个 子 网 为 128.0， 该 子 网 的 广播 地 址 为 172.16.127.255。 

问题 : IP 地 址 172.16.50.10 255.255.224.0 ( /19 ) 属于 哪个 子 网 ? 该 子 网 的 广播 地 址 是 多 少 ? 

答案 : 256 - 224 = 32， 因 此 子 网 为 0.0、32.0、64.0 等 ( 别 忘 了 ， 总 是 从 0 开始 往 上 数 )。 所 属 的 
子 网 为 172.16.32.0， 而 其 广播 地 址 为 172.16.63.255， 因 为 下 一 个 子 网 为 64.0。 

问题 : IP 地 址 172.16.46.255 255.255.240.0 ( /20 ) 属于 哪个 子 网 ? 该 子 网 的 广播 地 址 是 多 少 ? 

答案 : 这 里 只 需 考 虑 第 三 个 字 节 ，256 - 240 =16， 因 此 子 网 为 0.0、16.0、32.0、48.0 等 。 该 地 址 
肯定 属于 子 网 172.16.32.0， 而 该 子 网 的 广播 地 址 为 172.16.47.255， 因 为 下 一 个 子 网 为 48.0。 是 的 ， 
172.16.46.225 确实 是 合法 的 主机 地 址 。 

问题 ;IP 地址 172.16.45.14 255.255.255.252( /30 ) 属于 哪个 子 网 ? 该 子 网 的 广播 地 址 是 多 少 ? 

答案 : 这 里 需要 考虑 哪个 字 节 呢 ? 第 四 个 。256 - 2$2 = 4， 因 此 子 网 为 0、4、8、12、16 等 。 所 
属 的 子 网 为 172.16.45.12， 而 该 子 网 的 广播 地 址 为 172.16.45.15， 因 为 下 一 个 子 网 为 172.16.45.16。 

问题 : IP 地 址 172.16.88.255/20 属于 哪个 子 网 ? 该 子 网 的 广播 地 址 是 多 少 ? 
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答案 : /20 对 应 的 子 网 掩 码 是 什么 呢 ? 如 果 你 无 法 回答 ， 就 回答 不 了 这 个 问题 。/20 对 应 的 子 网 掩 
码 为 255.255.240.0, 在 第 三 个 字 节 , 该 子 网 掩 码 提供 的 块 大 小 为 16。 由 于 第 四 个 字 节 没 有 子 网 位 ， 因 
此 子 网 地 址 的 第 四 个 字 节 总 是 0, 而 广播 地 址 的 第 四 个 字 节 总 是 255。/20 提供 的 子 网 为 0.0、16.0、32.0、 
48.0、64.0、80.0、96.0 等 ,而 88 位 于 80 和 96 之 间 ， 因 此 所 属 子 网 为 80.0， 而 该 子 网 的 广播 地 址 为 
95.255。 

问题 : 路 由 器 在 其 接口 上 收 到 了 一 个 分 组 , 其 目标 地 址 为 172.16.46.191/26, 请 问 路 由 器 将 如 何 处 
理 该 分 组 ? 

答案 : 将 其 丢弃 。 你 知道 为 什么 四 ? 在 172.16.46.191/26 中 ， 子 网 掩 码 为 255.255.255.192， 这 种 
子 网 掩 码 创建 的 块 大 小 为 64， 因 此 子 网 为 0、64、128、192 等 。172.16.46.191 是 子 网 172.16.46.128 
的 广播 地 址 ， 而 默认 情况 下 ， 路 由 器 会 丢弃 所 有 的 广播 分 组 。 


4.1.7 A 类 网 络 的 子 网 划分 


A 类 网 络 的 子 网 划分 与 B 类 和 C 类 网 络 没 有 什么 不 同 ,但 需要 处 理 的 是 24 位 ,而 B 类 和 CC 类 网 
络 中 需 处 理 的 分 别 是 16 位 和 8 位。 

首先 ， 我 将 列 出 可 用 于 A 类 网 络 的 所 有 子 网 掩 码 ; 

255.0.0.0 (/8) 


255.128.0.0 (/9) 255.255.240.0 (/20) 
255.192.0.0 (/10) 255.255.248.0 (/21) 
255.224.0.0 (/11) 255.255.252.0 (/22) 
255.240.0.0 (/12) 255.255.254.0 (/23) 
255.248.0.0 (/13) 255.255.255.0 (/24) 
255.252.0.0 (/14) 255.255.255.128 (/25) 
255.254.0.0 (/15) 255.255.255.192 (/26) 
255.255.0.0 (/16) 255.255.255.224 (/27) 
255.255.128.0 (/17) 255.255.255.240 (/28) 
255.255.192.0 (/18) 255.255.255.248 (/29) 
255.255.224.0 (/19) 255.255.255.252 (/30) 


仅 此 而 已 ， 因 为 至 少 需 要 留 下 两 位 来 定义 主机 。 但 愿 你 现在 能 看 出 其 中 的 规律 。 请 记 住 ，A 类 网 
络 的 子 网 划分 与 B 和 C 类 网 络 相 同 , 只 是 主机 位 更 多 些 。A 类 网 络 的 子 网 络 划分 使 用 的 子 网 号 与 B 类 
和 C 类 网 络 中 相同 ,但 从 第 二 个 字 节 开始 使 用 这 些 编号 。 

1. A 类 网 络 子 网 划分 示例 

看 到 IP 地 址 和 子 网 掩 码 后 , 你 必须 能 够 区 分 用 于 子 网 的 位 和 用 于 主机 的 位 。 这 是 必须 的 。 如 果 你 
还 没有 明白 这 个 概念 ， 请 复习 3.3 节 ， 它 介绍 了 如 何 区 分 子 网 位 和 主机 位 ， 有 助 于 你 明白 这 一 点 。 

@ 示例 #1A: 255.255.0.0 (/16) 

A 类 网 络 默认 使 用 子 网 掩 码 255.0.0.0， 这 使 得 有 22 位 可 用 于 子 网 划分 ， 因 为 至 少 需要 留 下 两 位 
用 于 主机 编 址 。 在 A 类 网 络 中 ， 子 网 掩 码 255.255.0.0 使 用 8 个 子 网 位 。 

日 多 少 个 子 网 ? 28 = 256。 

口 每 个 子 网 的 主机 数 ? 2! -2= 65.534。 
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口 有 哪些 合法 的 子 网 ? 需要 考虑 哪些 字 节 ? 只 有 第 二 个 字 节 。256--255=1, 因 此 子 网 为 10.0.0.0、 
10.1.0.0、10.2.0.0、10.3.0.0、……: 、10.255.0.0。 
口 每 个 子 网 的 广播 地 址 是 什么 ? 
口 合法 的 主机 地 址 是 什么 ? 
下 面 列 出 了 使 用 子 网 掩 码 /16 时, A 类 私有 网 络 10.0.0.0 的 前 两 个 和 后 两 个 子 网 以 及 这 些 子 网 的 合 
法 主机 地 址 范围 和 广播 地 址 。 : 


第 一 个 主机 地 址 .1.0. 10.254.0.1 10.255.0.1 


@ 示例 #2A: 255.255.240.0 (/20) 


子 网 掩 码 为 255.255.240.0 时 ，12 位 用 于 子 网 划分 ， 余下 12 位 用 于 主机 编 址 。 

口 多 少 个 子 网 ? 22 = 4096。 

口 每 个 子 网 的 主机 数 ? 22 一 2 = 4094。 

口 有 哪些 合法 的 子 网 ? 需要 考虑 哪些 字 节 ? 第 二 和 第 三 个 字 节 。 在 第 二 个 字 节 中 ， 子 网 号 的 间 
隔 为 1; 在 第 三 个 字 节 中 ， 子 网 号 为 0、16、32 等 ， 因 为 256 一 240 = 16。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 面 列 出 了 前 3 个 和 最 后 一 个 子 网 的 主机 地 址 范围 。 


RE 
Tm | or | or oa | | asaol 
I 2 | aaaso 

广播 地 址 10.0.31.255 10.047255 | .. | 10255255255 | 


@ 示例 #3A: 255.255.255.192 (/26) : 

这 个 例子 将 第 二 个 、 第 三 个 和 第 四 个 字 节 用 于 划分 子 网 。 

口 多 少 个 子 网 ? 2'* = 262 144。 

口 每 个 子 网 的 主机 数 ? 25 -2 = 62。 

口 有 哪些 合法 的 子 网 ? 在 第 二 个 和 第 三 个 字 节 中 , 子 网 号 间隔 为 1， 而 在 第 四 个 字 节 中 , 子 网 号 
间隔 为 64。 

口 每 个 子 网 的 广播 地 址 是 什么 ? 

口 合法 的 主机 地 址 是 什么 ? 

下 面 列 出 了 使 用 子 网 掩 码 255.255.255.192 时 ，A 类 网 络 10.0.0.0 的 前 4 个 子 网 以 及 这 些 子 网 的 合 


法 主机 地 址 范围 和 广播 地 址 。 
ET oo 
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10.0.0.62 10.0.0.126 10.0.0.190 10.0.0.254 


最 后 一 个 主机 地 址 


下 面 列 出 了 最 后 4 个 子 网 以 及 这 些 子 网 的 合法 主机 地 址 范围 和 广播 地 址 。 


10.255.255.191 10.255.255.255 


2. 在 脑海 中 对 A 类 网 络 进行 子 网 划分 . 

这 听 起 来 很 难 , 但 使 用 的 数字 与 B 类 和 CC 类 网 络 相 同 , 只 是 从 第 二 个 字 节 开始 。 为 什么 容易 呢 ? 
你 只 需 考 虑 块 大 小 最 大 的 那个 字 节 (通常 称 为 感 兴趣 的 字 节 ， 其 取 值 是 0 或 255 以 外 的 值 )。 例 如 ， 
在 和 A 类 网 络 中 使 用 子 网 掩 码 255.255.240.0 ( /20 ) 时 , 第 二 个 字 节 的 块 大 小 为 1， 在 确定 子 网 时 ， 该 字 
节 可 以 为 任何 取 值 。 在 该 子 网 掩 码 中 ,第 三 个 字 节 为 240， 这 意味 着 第 三 个 字 节 的 块 大 小 为 6。 如 果 
主机 ID 为 10.20.80.30， 它 属于 哪个 子 网 呢 ? 该 子 网 的 合法 主机 地 址 范围 和 广播 地 址 分 别 是 什么 ? 

第 二 个 字 节 的 块 大 小 为 1， 因 此 所 属 子 网 的 第 二 个 字 节 为 20, 但 第 三 个 字 节 的 块 大 小 为 16, 因此 
子 网 号 的 第 三 个 字 节 的 可 能 取 值 为 0、16、32、48、64、80、96 等 (顺便 说 一 句 ， 你 现在 知道 怎样 计 
算 16 的 倍数 了 吧 ? )， 因 此 所 属 子 网 为 10.20.80.0。 该 子 网 的 广播 地 址 为 10.20.95.255， 因 为 下 一 个 子 
网 为 10.20.96.0。 合法 的 主机 地 址 范围 为 10.20.80.1 一 10.20.95.254。 确 定 块 大 小 后 , 我 们 便 能 在 脑海 中 
“完成 子 网 划分 工作 ， 这 可 不 是 骗 你 ! 

再 来 做 个 练习 。 

主机 下 地 址 : 10.1.3.65/23 . 

首先 ， 如 果 不 知道 /23 对 应 的 子 网 掩 码 ， 你 就 回答 不 了 这 个 问题 。 它 对 应 的 子 网 掩 码 为 
255.255.254.0。 这 里 感 兴趣 的 字 节 为 第 三 个 。256 - 254 = 2， 因 此 第 三 个 字 节 的 子 网 号 为 0、2、4、6 
等 。 在 这 个 问题 中 ， 主 机 位 于 子 网 2.0 中 ， 而 下 一 个 子 网 为 4.0， 因 此 该 子 网 的 广播 地 址 为 3.255。 
10.1.2.1 一 10.1.3.254 中 的 任何 地 址 都 是 该 子 网 中 合法 的 主机 地 址 。 


4.2 小结 


阅读 第 3 章 和 第 4 章 时 ， 第 一 遍 就 就 明白 了 其 中 介绍 的 所 有 内 容 吗 ? 如 果 是 这 样 ， 那 太 好 了 , 祝 
贺 你 ! 通常 情况 下 ， 你 可 能 阅读 两 三 遍 后 还 有 不 明白 的 地 方 ， 而 正如 前 面 指出 的 ， 这 很 正常 ， 不 用 担 
心 。 如 果 你 必须 阅读 多 遍 ( 其 至 多 达 10 遍 ) 才 真 正明 白 这 两 章 的 内 容 ， 也 不 用 难过 。 

本 章 将 加 深 你 对 下 子 网 划分 的 认识 ， 阅 读 完 后 ， 你 应 该 能 够 在 脑海 中 完成 呈 子 网 划分 。 

本 章 对 思科 认证 至 关 重 要 ， 如 果 你 只 是 浏览 了 一 遍 ， 请 回 过 头 去 仔细 阅读 ， 并 完成 后 面 所 有 的 书 
面 实验 。 


4.3 考试 要 点 


指出 子 网 划分 的 优点 。 对 物理 网 络 进行 子 网 划分 的 好 处 包括 减少 网 络 流量 、 优 化 网 络 性 能 、 简 化 
管理 以 及 有 助 于 覆盖 大 型 地 理 区 域 。 
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描述 命令 ip subnet-zero 的 影响 。 这 个 命令 让 你 能 够 在 网 络 设计 中 使 用 第 一 个 和 最 后 一 个 子 网 。 

指出 对 分 类 网 络 进行 子 网 划分 的 步骤 。 首 先 ， 将 256 减 去 子 网 掩 码 值 ， 计 算出 块 大 小 ; 然后 ， 列 
出 子 网 并 确定 每 个 子 网 的 广播 地 址 ( 总 是 下 一 个 子 网 之 前 的 数字 )。 子 网 地 址 和 广播 地 址 之 间 的 数字 
就 是 合法 的 主机 地 址 。 

指出 可 能 的 块 大 小 。 这 对 于 理解 IP 编 址 和 子 网 划分 非常 重要 。 可 能 的 块 大 小 为 2、4、8、16、32、 
64、128 等 。 要 计算 块 大 小 ， 我 们 可 将 256 减 去 子 网 掩 码 值 。 

描述 子 网 掩 码 在 IP 编 址 中 扮演 的 角色 。 子 网 掩 码 是 一 个 32 位 的 值 , 让 全 分 组 的 接收 方 能 够 将 卫 
地 址 的 网 络 ID 部 分 和 主机 ID 部 分 区 分 开 来 。 

理解 并 使 用 公式 2” -~ 2。 根据 要 求 的 子 网 大 小 ， 可 使 用 这 个 公式 确定 在 分 类 网 络 中 使 用 什么 样 的 
子 网 掩 码 。 

解释 无 类 域 间 路 由 选择 〈CIDR) 的 影响 。CIDR 让 你 能 够 使 用 3 个 分 类 子 网 掩 码 外 的 其 他 子 网 掩 
码 ， 从 而 创建 分 类 子 网 划分 不 支持 的 子 网 规模 。 


4.4 书面 实验 


在 本 节 中 ， 你 将 完成 如 下 实验 ， 确 保 明 白 了 其 中 涉及 的 信息 和 概念 。 
口 实验 4.1: 书面 子 网 划分 实践 1。 

口 实验 4.2: 书面 子 网 划分 实践 2。 

口 实验 4.3: 书面 子 网 划分 实践 3。 

(书面 实验 的 答案 见 本 章 复习 题 答 案 的 后 面 ) 


4.4.1 书面 实验 4.1: 书面 子 网 划分 实践 1 


对 于 问题 1 ~6， 请 确定 相应 中 地址 所 属 的 子 网 以 及 该 子 网 的 广播 地 址 和 合法 主机 地 址 范围 。 
(1) 192.168.100.25/30。 

(2) 192.168.100.37/28。 

(3) 192.168.100.66/27。 

(4) 192.168.100.17/29。 

(5) 192.168.100.99/26。 

(6) 192.168.100.99/25。 

(7) 假设 你 有 一 个 B 类 网 络 ， 并 需要 29 个 子 网 ， 应 使 用 什么 样 的 子 网 掩 码 ? 
(8) 192.168.192.10/29 所 属 子 网 的 广播 地 址 是 什么 ? 

(9) 在 C 类 网 络 中 使 用 子 网 掩 码 /29 时 ， 每 个 子 网 最 多 可 包含 多 少 台 主 机 ? 
(10) 主机 ID 10.16.3.65/23 属于 哪个 子 网 ? 


4.4.2 书面 实验 4.2: 书面 子 网 划分 实践 2 


给 定 B 类 网 络 和 网 络 位 数 〈 CIDR )， 请 完成 下 表 ， 指 出 对 应 的 子 网 掩 码 以 及 每 个 子 网 包含 的 主机 
地 址 数 。 
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分 类 地 址 子 网 掉 码 每 个 子 网 的 主机 数 (2” - 2) 
/16 
/17 
/18 
/19 
/20 
/21 
/22 
/23 
/24 
/25 
/26 
/27 
/28 
/29 
/30 


4.4.3 书面 实验 4.3: 书面 子 网 划分 实践 3 
根据 给 出 的 十 进 制 IP 地 址 完成 下 表 。 


十 进 制 1P 地 址 地 址 类 子 网 位 数 和 主机 位 数 子 网 数 (2”) 主机 数 (2 - 2) 
10.25.66.154/23 

172.31.254.12/24 

192.168.20.123/28 

63.24.89.21/18 

128.1.1.254/20 

208.100.54.209/30 


4.5 复习 题 


ea 


RN 


下 面 的 复习 题 间 在 检验 你 对 未 章 内 容 的 理解 程度 。 有 关 如 何 效 取 更 多 复习 题 的 
注意 ” 信息， 请 参阅 本 书 的 前 言 。 


(1) 在 使 用 子 网 掩 码 255.255.255.224 的 网 络 中 ， 每 个 子 网 最 多 有 多 少 个 人 P 地 址 可 供 分 配给 主机 ? 
A.14 B. 15 C.16 D.30 E. 31 F. 62 
(2) 你 的 网 络 需 要 29 个 子 网 ， 同 时 要 确保 每 个 子 网 可 用 的 主机 地 址 数 最 多 。 为 提供 正确 的 子 网 掩 码 ， 
必须 从 主机 字段 借用 多 少 位 ? 
A.2 B.3 C.4 D.5 E.6 F.7 
(3) IP 地址 为 200.10.5.68/28 的 主机 位 于 哪个 子 网 中 ? 
A. 200.10.5.56 B. 200.10.5.32 C. 200.10.5.64 D. 200.10.5.0 
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(4) 网 络 地 址 172.16.0.0/19 提供 多 少 个 子 网 和 主机 ? 


A.7 个 子 网 ， 每 个 子 网 30 台 主 机 B. 7 个 子 网 ， 每 个 子 网 2046 台 主 机 
C.7 个 子 网 ， 每 个 子 网 8190 台 主 机 D. 8 个 子 网 ， 每 个 子 网 30 台 主 机 
E. 8 个 子 网 ， 每 个 子 网 2046 台 主 机 F. 8 个 子 网 ， 每 个 子 网 8190 台 主 机 


(5) 下 面 哪 两 种 有 关 IP 地 址 10.16.3.65/23 的 说 法 是 正确 的 ? 
A. 其 所 属 子 网 的 地 址 为 10.16.3.0 255.255.254.0 
B. 在 其 所 属 子 网 中 ， 第 一 个 主机 地 址 为 10.16.2.1 255.255.254.0 
C. 在 其 所 属 的 子 网 中 ， 最 后 一 个 合法 的 主机 地 址 为 10.16.2.254 255.255.254.0 
D. 其 所 属 子 网 的 广播 地 址 为 10.16.3.255 255.255.254.0 
E. 这 个 网 络 没 有 进行 子 网 划分 
(6) 如 果 网 络 中 一 台 主 机 的 地 址 为 172.16.45.14/30， 该 主机 属于 哪个 子 网 ? 


A. 172.16.45.0 B. 172.16.45.4 C. 172.16.45.8 
D. 172.16.45.12 .EE.172.16.45.16 
(7) 为 减少 对 全 地址 的 浪费 ， 在 点 到 点 WAN 链 路 上 应 使 用 哪个 子 网 掩 码 ? 
A./27 B. /28 C. /29 D./30 E./31 
(8) IP 地 址 为 172.16.66.0/21 的 主机 属于 哪个 子 网 ? 
. A. 172.16.36.0 B. 172.16.48.0 C. 172.16.64.0 D. 172.16.0.0 


(9) 假设 一 个 路 由 器 接口 的 下 地 址 为 192.168.192.10/29， 请 问 在 该 路 由 器 接口 连接 的 LAN 中 ， 有 和 多少 
台 主 机 可 以 有 了 下地 址 (包括 该 路 由 器 接口 在 内 ) ? 
A.6 台 B. 8 台 C.30 台 D. 62 台 E. 126 台 
(10) 你 需要 配置 子 网 192.168.19.24/29 中 的 一 台 路 由 器 ， 让 其 使 用 第 一 个 可 用 的 主机 地 址 ， 应 将 哪个 地 
址 分 配给 它 ? 
A. 192.168.19.0 255.255.255.0 B. 192.168.19.33 255.255.255.240 


C. 192.168.19.26 255.255.255.248 D. 192.168.19.31 255.255.255.248 
E. 192.168.19.34 255.255.255.240 


(11) 一 个 路 由 器 接口 的 耻 地 址 为 192.168.192.10/29， 在 该 接口 连接 的 LAN 中 ， 主 机 将 使 用 哪个 广播 
地 址 ? 
A. 192.168.192.15 B. 192.168.192.31 C. 192.168.192.63 
D. 192.168.192.127 CE.192.168.192.255 
(12) 你 需要 对 一 个 网 络 进行 子 网 划分 ， 使 其 包含 5 个子 网 ， 每 个 子 网 至 少 可 包含 16 台 主 机 。 你 将 使 用 
哪个 有 类 子 网 掩 码 ? 
A.255.255.255.192 CB.255.255.255.224 C. 255.255.255.240 D. 255.255.255.248 
(13) 你 给 路 由 器 接口 配置 卫 地 址 192.168.10.62 255.255.255.192 时 出 现 了 如 下 错误 : 


Bad mask /26 for address 192.168.10.62 
请 问 为 何 会 出 现 这 种 错误 ? 
A. 给 接口 连接 的 是 WAN 链 路 ， 不 能 使 用 这 样 的 耳 地 址 
B. 这 不 是 合法 的 主机 地 址 和 子 网 掩 码 组 合 
C. 没有 在 该 路 由 器 上 启用 命令 ip subnet-zero 
D. 该 路 由 器 不 支持 P 
(14) 如 果 给 路 由 器 的 一 个 以 太 网 端口 分 配 了 了 人 P 地址 172.16.112.1/25， 该 接口 将 属于 哪个 子 网 ? 


A. 172.16.112.0 B. 172.16.0.0 C. 172.16.96.0 
D. 172.16.255.0 E. 172.16.128.0 
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(15) 在 下 图 中 ， 如 果 使 用 第 8 个 子 网 ， 接 口 E0 的 全 地址 将 是 什么 ? 网络 ID 为 192.168.10.0/28， 而 你 
需要 使 用 子 网 中 最 后 一 个 IP 地 址 。 这 里 将 子 网 0 视 为 非法 。 


A. 192.168.10.142 B. 192.168.10.66 C. 192.168.100.254 
D. 192.168.10.143 E. 192.168.10.126 


(16) 在 前 面 的 示意 图 中 ， 如 果 你 使 用 第 一 个 子 网 ， 接 口 S0 的 IP 地 址 将 是 什么 ? 网 络 ID 为 
192.168.10.0/28， 而 你 需要 使 用 子 网 中 最 后 一 个 全 地址。 同样 ， 这 里 将 子 网 0 视 为 非法 。 


A. 192.168.10.24 B. 192.168.10.62 C. 192.168.10.30 D. 192.168.10.127 
(17) 在 一 个 使 用 子 网 掩 码 255.255.255.224 的 C 类 网 络 中 ,要 使 用 8 个 子 网 ,必须 启用 下 面 哪个 配置 命令 ? 
A. Router(config)#ip classless B. Router(config)#ip version 6 
C. Router(config)#no ip classful D. Router (config)#ip unnumbered 
E. Router(config)#ip subnet-zero F. Router (Cconfig)#ip all-nets 
(18) 在 包含 子 网 172.16.17.0/22 的 网 络 中 ， 哪 个 主机 地 址 是 合法 的 ? 
A. 172.16.17.1 255.255.255.252 B. 172.16.0.1 255.255.240.0 
C. 172.16.20.1 255.255.254.0 D. 172.16.16.1 255.255.255.240 
E. 172.16.18.255 255.255.252.0 F. 172.16.0.1 255.255.255.0 
(19) 你 的 路 由 器 有 一 个 Ethermet0, 其 下 地 址 为 172.16.2.1/23。 在 该 接口 连接 的 LAN 中 , 下 面 哪 两 个 主 
机 ID 是 合法 的 ? 
A. 172.16.0.5 B. 172.16.1.100 C. 172.16.1.198 
D. 172.16.2.255 E. 172.16.3.0 F. 172.16.3.255 
(20) 要 测试 本 地 主机 的 IP 栈 ， 你 将 ping 哪个 全 地 址 ? 
A. 127.0.0.0 B. 1.0.0.127 C. 127.0.0.1 
D. 127.0.0.255 FE. 255.255.255.255 


4.6 ”复习 题 答案 


(1) D。 在 /27 对 应 的 子 网 掩 码 255.255.255.224 中 ， 最 后 一 个 字 节 有 3 位 为 1， 其 余 5 位 为 0。 这 提供 了 
8 个 子 网 ， 每 个 子 网 可 包含 30 台 主机 。 在 A 类、B 类 还 是 C 类 网 络 中 使 用 这 个 子 网 掩 码 对 结果 有 影响 吗 ? 
根本 没有 影响 ， 因 为 主机 位 数 不 变 。 

(2) D。 使 用 子 网 掩 码 255.255.255.240 时 ， 有 4 个子 网 位 ， 可 提供 16 个 子 网 ， 每 个 子 网 可 包含 14 台 主 
机 。 我 们 需要 更 多 的 子 网 ， 因 此 需要 增加 子 网 位 。 增 加 一 个 子 网 位 时 ， 子 网 掩 码 将 为 255.255.255.248。 这 
将 提供 5 个 子 网 位 (32 个 子 网 ) 和 3 个 主机 位 (每 个 子 网 6 台 主 机 ) 。 这 是 最 佳 答案 。 

(3) C。 这 个 问题 非常 简单 。/28 对 应 的 子 网 掩 码 为 255.255.255.240， 这 意味 着 第 四 个 字 节 的 块 大 小 为 
16， 因 此 子 网 为 0、16、32、48、64、80 等 。 该 主机 属于 子 网 64。 


120 第 4 章 ”轻松 划分 子 网 


(4) F。CIDR 值 /19 对 应 的 子 网 掩 码 为 255.255.224.0。 这 是 一 个 B 类 地 址 ， 因 此 只 有 3 个 子 网 位 ,但 有 
13 个 主机 位 ， 因 此 提供 8 个 子 网 ， 每 个 子 网 可 包含 8190 台 主 机 。 

(5) B、D。 在 A 类 网 络 中 使 用 子 网 掩 码 255.255.254.0( /23 ) 时 ， 意 味 着 有 15 个 子 网 位 和 9 个 主机 位 。 第 
三 个 字 节 的 块 大 小 为 2(256-254 ) 。 因此, 在 第 三 个 字 节 中 , 子 网 号 为 0、2、4、6、…… 、254。 主机 10.16.3.65 
位 于 子 网 2.0 中 ， 下 一 个 子 网 为 4.0， 因 此 子 网 2.0 的 广播 地 址 为 3.255。 合 法 主机 地 址 范围 为 2.1 ~ 3.254。 

(6) D。 无 论 地 址 类 型 如 何 ，/32 的 第 四 个 字 节 都 是 252。 这 意味 着 块 大 小 为 4， 子 网 为 0、4、8、12、 
16 等 。 地 址 14 显然 位 于 子 网 12 中 。 

(7) D。 点 到 点 链 路 只 使 用 两 个 主机 地 址 。/30 ( 255.255.255.252 ) 在 每 个 子 网 中 提供 两 个 主机 地 址 。 

(8) C。/21 对 应 的 子 网 掩 码 为 255.255.248.0， 这 意味 着 第 三 个 字 节 的 块 大 小 为 8， 因此 我 们 只 需 从 0 往 
上 数 , 每 次 递增 8 ,直到 超过 66。 所 属 的 子 网 为 64.0, 下 一 个 子 网 为 72.0, 因 此 子 网 64.0 的 广播 地 址 为 71.255。 

(9)A。 无 论 在 哪 类 网 络 中 ，/29 ( 255.255.255.248 ) 都 只 提供 3 个 主机 位 。 因 此 , 该 LAN 最 多 可 包含 6 
台 主 机 (包括 路 由 器 接口 在 内 ) 。 

(10) C。/29 对 应 的 子 网 掩 码 为 255.255.255.248， 第 四 个 字 节 的 块 大 小 为 8， 因 此 子 网 为 0、8、16、24、 
32 40 等 192.168.19.24 为 子 网 24 ,而 下 一 个 子 网 为 32, 因 此 子 网 24 的 广播 地 址 为 31。 只 有 答案 192.168.19.26 
是 正确 的 。 

(11) A。/29 对 应 的 子 网 掩 码 为 235.255.255.248 ， 第 四 个 字 节 的 块 大 小 为 8， 这 意味 着 子 网 为 0、8、16、 
24 等 。10 位 于 子 网 8 中 ， 下 一 个 子 网 为 16， 因 此 广播 地 址 为 15。 

(12)B。 你 需要 $ 个 子 网 ， 每 个 子 网 至 少 16 台 主 机 。 子 网 掩 码 255.255.255.240 提供 16 个 子 网 ， 每 个 子 
网 最 多 14 台 主 机 ， 这 不 可 行 。 子 网 掩 码 255.255.255.224 提供 8 个 子 网 ， 每 个 子 网 最 多 30 台 主 机 ， 这 是 最 
佳 答案 。 

(13)C。 如 果 你 不 能 划分 子 网 , 就 回答 不 了 这 个 问题 。 子 网 掩 码 为 255.255.255.192 时 , 第 四 个 字 节 的 块 
大 小 为 64， 主 机 位 于 子 网 0 中 ， 因 此 导致 这 种 错误 的 原因 是 没有 在 路 由 器 上 启用 命令 ip subnet-zero。 

(14) A。/25 对 应 的 子 网 掩 码 为 255.255.255.128。 将 该 子 网 掩 码 用 于 B 类 网 络 时 ， 第 三 个 和 第 四 个 字 节 
用 于 子 网 划分 ， 总 共有 9 个 子 网 位 ， 其 中 8 位 位 于 第 三 个 字 节 ，1 位 位 于 第 四 个 字 节 。 由 于 第 四 个 字 节 只 有 
1 位 用 于 子 网 划分 , 该 位 的 取 值 要 么 为 0, 要 么 为 1， 即 第 四 个 字 节 的 子 网 号 要 么 为 0, 要 么 为 128。 该 主机 
位 于 子 网 0 中 ， 该 子 网 的 广播 地 址 为 127， 因 为 下 一 个 子 网 为 112.128。 

(15) A。/28 对 应 的 子 网 掩 码 为 255.255.255.240。 由 于 需要 确定 第 8 个 子 网 的 广播 地 址 ， 因 此 需要 数 到 
第 9 个 子 网 。 为 此 ， 从 16 开 始 (这 个 问题 指出 将 不 使 用 子 网 0， 因 此 从 16 而 不 是 0 开始 数 ) : 16、32、48、 
64、80、96、112、128、144。 第 8 个 子 网 为 128， 而 下 一 个 子 网 为 144， 因 此 子 网 128 的 广播 地 址 为 143。 
所 以 ， 主 机 地 址 范围 为 129 ~142， 最 后 一 个 合法 的 主机 地 址 为 142。 

(16) C。/28 对 应 的 子 网 掩 码 为 255.255.255.240。 第 一 个 子 网 为 16 ( 这 个 问题 指出 ， 不 使 用 子 网 0) ， 
下 一 个 子 网 为 32， 因 此 广播 地 址 为 31。 所 以 ， 主 机 地 址 范围 为 17 一 30， 最 后 一 个 合法 的 主机 地 址 为 30。 

(17)E。 在 子 网 掩 码 255.255.255.224( 11100000 ) 中 ，3 位 的 值 为 1， 其 他 5 位 的 值 为 0 这 提供 了 8 个 
子 网 ， 每 个 子 网 可 包含 30 台 主 机 。 然 而 ， 如 果 没 有 启用 命令 ip subnet-zero， 则 只 有 6 个 子 网 可 供 使 用 。 

(18)E。 在 B 类 网 络 使 用 子 网 掩 码 /22( 255.255.252.0 ) 时 ,第 三 个 字 节 的 块 大 小 为 4, 因此 子 网 172.16.16.0 
的 广播 地 址 为 172.16.19.255。 只 有 答案 E 的 子 网 掩 码 是 正确 的 ， 且 主机 地 址 172.16.18.255 是 合法 的 。 

(19) D、E。 路 由 器 的 E0 接口 的 卫 地 址 为 172.16.2.1/23， 对 应 的 子 网 掩 码 为 255.255.254.0， 这 使 得 第 
三 个 字 节 的 抉 大 小 为 2。 该 路 由 器 接口 位 于 子 网 2.0 中 ， 而 该 子 网 的 广播 地 址 为 3.255， 因 为 下 一 个 子 网 为 
4.0。 合 法 的 主机 地 址 范围 为 2.1 一 3.254。 该 路 由 器 接口 使 用 了 第 一 个 合法 的 主机 地 址 。 

(20) C。 要 测试 主机 的 本 地 栈 ， 你 可 ping 环 回 接口 127.0.0.1。 
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4.7 书面 实验 4.1 答案 


(1) /30 对 应 的 子 网 掩 码 为 255.255.255.252， 因 此 该 地 址 属于 子 网 192.168.100.24， 该 子 网 的 广播 地 址 为 
192.168.100.27， 而 合法 的 主机 地 址 为 192.168.100.25 和 192.168.100.26 

(2) /28 对 应 的 子 网 掩 码 为 255.255.255.240， 因 此 第 四 个 字 节 的 块 大 小 为 16。 计 算 16 的 倍数 ， 直 到 超过 
37: 0、16、32、48。 该 主机 位 于 子 网 32 中 ， 该 子 网 的 广播 地 址 为 47， 而 合法 的 主机 地 址 范围 为 33 一 46 

(3) /27 对 应 的 子 网 掩 码 为 255.255.255.224， 因 此 第 四 个 字 节 的 块 大 小 为 32。 计 算 32 的 倍数 ， 直 到 超过 
主机 地 址 66: 0、32、64、96。 该 主机 位 于 子 网 64 中 ， 该 子 网 的 广播 地 址 为 953 ， 而 合法 的 主机 地 址 范围 为 
65 一 94 

(4) /29 对 应 的 子 网 掩 码 为 255.255.255.248 ， 因 此 第 四 个 字 节 的 块 大 小 为 8， 子 网 为 0、8、16、24 等 。 
该 主机 位 于 子 网 16 中 ， 该 子 网 的 广播 地 址 为 23 ， 而 合法 的 主机 地 址 范围 为 17 一 22 

(5) /26 对 应 的 子 网 掩 码 为 255.255.255.192， 因 此 第 四 个 字 节 的 块 大 小 为 64， 子 网 为 0、64、128 等 。 该 
主机 位 于 子 网 64 中 ,该 子 网 的 广播 地 址 为 127， 而 合法 的 主机 地 址 范围 为 65 ~ 126 

(6) /25 对 应 的 子 网 掩 码 为 255.255.255.128， 因 此 第 四 个 字 节 的 块 大 小 为 128， 子 网 为 0、128 等 。 该 主 
机 位 于 子 网 0 中， 该 子 网 的 广播 地 址 为 127， 而 合法 的 主机 地 址 范围 为 1 一 126 

(7)B 类 网 络 的 默认 子 网 掩 码 为 255.255.0.0。 在 B 类 网 络 中 , 使 用 子 网 掩 码 255.255.255.0 可 提供 256 个 
子 网 ， 每 个 子 网 可 包含 254 台 主 机 。 我 们 不 需要 这 么 多 子 网 。 如 果 使 用 子 网 掩 码 255.255.240.0， 我 们 将 拥 
有 16 个 子 网 。 让 我 们 再 添加 一 个 子 网 位 ， 使 用 子 网 掩 码 255.255.248.0， 这 将 有 5 位 用 于 子 网 划分 ， 可 提供 
32 个 子 网 。 这 是 最 佳 答案 ， 其 斜 杆 表 示 法 为 /21 

(8) /29 对 应 的 子 网 掩 码 为 255.255.255.248， 因 此 第 四 个 字 节 的 块 大 小 为 8， 子 网 为 0、8、16 等 。 该 主 
机 位 于 子 网 8 中 ,该 子 网 的 广播 地 址 为 15 

(9) /29 对 应 的 子 网 掩 码 为 255.255.255.248， 这 提供 5 个 子 网 位 和 3 个 主机 位 ， 每 个 子 网 只 有 6 台 主 机 

(10) /23 对 应 的 子 网 掩 码 为 255.255.254.0， 因 此 第 三 个 字 节 的 块 大 小 为 2， 子 网 为 0、2、4 等 。 该 主机 
ID 所 属 的 子 网 为 16.2.0， 而 该 子 网 的 广播 地 址 为 16.3.255 


4.8 书面 实验 4.2 答案 


分 类 地 址 子 网 掩 码 每 个 子 网 的 主机 数 ( 2"- 2 ) 
/16 255.255.0.0 65 534 
/17 255.255.128.0 32 766 
/118 255.255.192.0 16 382 
/19 255.255.224.0 8190 
/20 255.255.240.0 l 4094 
/21 255.255.248.0 2046 
/22 255.255.252.0 1022 
/23 255.255.254.0 510 
/124 255.255.255.0 254 
/25 255.255.255.128 126 
/26 255.255.255.192 62 
/27 255.255.255.224 30 
/28 255.255.255.240 14 
/29 255.255.255.248 6 


/30 255.255.255.252 2 
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4.9 书面 实验 4.3 答案 


十 进 制 IP 地 址 地 址 类 子 网 位 数 和 主机 位 数 子 网 数 ( 2* ) 主机 数 ( 2*-2 ) 
10.25.66.154/23 A 15/9 32 768 510 
172.31.254.12/24 了 8/8 256 254 
192.168.20.123/28 C 4/4 16 14 
63.24.89.21/18 A 10/14 1 024 16 382 
128.1.1.254/20 B 4/12 16 4094 
208.100.54.209/30 C .6/2 64 2 


有 

2 
、。 

4 


第 器 


变 长 子 网 掩 码 (VLSM )、 汇 总 
和 ITCP/ZIP 故障 排除 


本 章 涵 盖 如 下 CCNA 考试 要 点 。 
v 实现 IP 编 址 方案 和 iP 服务 ， 以 满足 中 型 企业 分 支 机 构 网 络 的 网 络 需求 
口 在 LAN 环境 中 实现 静态 和 动态 编 址 服务 。 
口 确定 并 实现 编 址 方案 ， 包 括 VLSM IP 编 址 设计 。 
口 确定 使 用 VLSM 和 汇总 的 无 类 编 址 方案 ， 以 满足 LAN/WAN 环境 的 编 址 需求 。 
口 找 出 并 修复 常见 的 下 编 址 和 主机 配置 问题 。 
前 两 章 讨论 了 下子 网 划分 , 本章 将 详细 讨论 VLSM( Variable Length Subnet Mask, 变 长 子 网 掩 码 )， 
并 演示 如 何 设计 和 实现 使 用 VLSM 的 网 络 。 
读者 掌握 VLSM 的 设计 和 实现 后 , 我 将 介绍 如 何在 分 类 网 络 边界 汇总 , 而 第 9 章 将 更 详细 地 讨论 
这 个 主题 ， 演 示 如 何 使 用 路 由 选择 协议 EIGRP 和 OSPF 进行 汇总 。 
最 后 ， 本 章 将 介绍 全 地址 故障 排除 ， 引 导 你 使 用 思科 推荐 的 步骤 排除 瑟 网 络 故 障 。 
请 做 好 心理 准备 ， 阅 读 之 旅 就 要 开始 了 。 本 章 将 切实 帮助 你 理解 P 编 址 和 组 网 ， 因 此 不 要 气 角 ， 
不 要 放弃 。 只 要 坚持 ， 总 有 一 天 当 你 回 过 头 来 看 时 ， 会 为 当初 选择 坚持 感到 高 兴 的 。 一 旦 你 理解 了 子 
网 划分 ， 就 会 奇怪 当初 怎么 会 认为 它 很 难 。 准 备 好 了 吗 ? 我 们 开始 吧 。 


有 关 本 章 内 容 的 最 新 修订 ,请 访问 www.lammile.com 或 www.sybex.com/go/ccna7e。 


注意 


5.1 变 长 子 网 掩 码 (VLSM) 


本 章 将 介绍 一 种 简单 的 子 网 划分 方法 ， 它 使 用 长 度 不 同 的 子 网 掩 码 将 网 络 划 分 成 众多 子 网 ， 适 
用 于 不 同类 型 的 网 络 设计 。 这 称 为 VLSM 组 网 , 它 带 来 了 第 4 章 说 过 的 一 个 主题 ; 分 类 组 网 和 无 类 
组 网 。 

路 由 选择 协议 RIPv1 和 IGRP 都 没有 提供 包含 子 网 信息 的 字段 ， 因 此 将 丢弃 子 网 信息 。 这 意味 
着 如 果 运 行 RIP 的 路 由 器 使 用 特定 的 子 网 掩 码 , 它 将 假定 当前 分 类 地 址 空间 内 的 所 有 接口 都 使 用 该 
子 网 掩 码 。 这 称 为 分 类 路 由 选择 , 而 RIP 和 IGRP 都 被 视 为 分 类 路 由 选择 协议 。( 第 8 章 将 详细 介绍 
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RIP 和 IGRP。 ) 在 运行 RIP 或 IGRP 的 网 络 中 ， 你 如 果 使 用 长 度 不 同 的 子 网 掩 码 ， 该 网 络 将 不 能 正 
常 运行 。 

然而 ， 无 类 路 由 选择 协议 通告 子 网 信息 ， 因 此 在 运行 诸如 RIPvV2、EIGRP 和 OSPF 等 路 由 选择 协 
议 的 网 络 中 ， 你 可 使 用 VLSM。( EIGRP 和 OSPF 将 在 第 9 章 讨论 。) 这 种 网 络 的 优点 在 于 ， 让 你 能 够 
节省 大 量 的 人? 地址 空间 。 

顾名思义 ,使 用 VLSM 时 ， 我 们 可 给 不 同 的 路 由 器 接口 配置 长 度 不 同 的 子 网 掩 码 。 图 5-1 说 明了 
分 类 网 络 设计 低 效 的 原因 。 


{6 台 主 机 ) (10 台 主机 ) 


(2 台 主 


FE cs 192.168.10.48/28 
192.168.10.32/28 二 


192.168.10.0/28 | 


192.168.10.64/28 
192.168.10.16/28 


人 .3 .19 
(25 台 主 机 ) (12 台 主 机 ) 
5-1 典型 的 分 类 网 络 


5-1 中 有 两 台 路 由 器 ， 每 台 路 由 器 都 连接 了 两 个 LAN， 而 两 台 路 由 器 通过 WAN 串 行 链 路 
相连 。 在 典型 的 分 类 网 络 设计 中 (使 用 路 由 选择 协议 RIP 或 IGRP )， 我 们 可 像 下 面 这 样 进 行 子 网 
划分 : 

网 络 地 址 = 192.168.10.0 

子 网 掩 码 = 255.255.255.240 ( /28) 

这 样 ， 子 网 将 为 0、16、32、48、64、80 等 。 这 使 得 该 互联 网 络 最 多 可 包含 16 个 子 网 ， 但 每 个 
子 网 可 包含 多 少 台 主机 呢 ? 现在 你 可 能 知道 了 ,每 个 子 网 最 多 只 能 包含 14 台 主 机 。 这 意味 着 每 个 LAN 
有 14 个 合法 的 主机 地 址 ， 这 使 得 其 中 一 个 LAN 没有 足够 的 地 址 分 配给 所 有 主机 。 点 到 点 WAN 链 路 
也 有 14 个 合法 的 主机 地 址 ， 但 我 们 却 不 能 将 这 些 地 址 挪 给 LAN 使 用 ,这 太 糟糕 了 。 

所 有 主机 和 路 由 器 接口 都 使 用 相同 的 子 网 掩 码 ， 这 称 为 分 类 路 由 选择 。 0 i 
使 用 效率 ， 我 们 必须 给 每 个 路 由 器 接口 分 配 不 同 的 子 网 掩 码 。 

但 还 有 另 一 个 问题 ， 那 就 是 两 台 路 由 器 之 间 的 链 路 使 用 的 主机 地 址 不 会 超过 两 个 ! 这 液 凋 了 宝 宙 
的 下 地 址 空间 ， 这 也 是 接 下 来 将 介绍 VLSM 网 络 设计 的 一 大 原因 。 


5.1.1 VLSM 设计 
对 于 图 5-1 所 示 的 网 络 ， 如 果 使 用 无 类 设计 ， 它 将 变 成 如 图 5-2 所 示 的 新 网 络 。 在 前 一 个 示例 中 ， 
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由 于 所 有 路 由 器 接口 和 主机 都 使 用 相同 的 子 网 掩 码 ， 使 得 我 们 在 浪费 了 地 址 空间 的 同时 ， 一 个 LAN 
却 没 有 足够 的 地 址 。 这 很 糟糕 。 如 果 对 于 每 个 路 由 器 接口 连接 的 LAN， 者 能够 只 提供 所 需 的 主机 地 址 
数 就 好 了 。 为 此 ， 我 们 可 使 用 VLSM。 


(6 台 主 机 ) (10 台 主 机 ) 
.34 35 .07 
下 [1 
国 国 | (各 主机 ) [9 
”二 192.168.10.48/28 = 
| | 33 usa 49 .50 


192.168.10.32/28 
192.168.10.0/28 


村 
(25 台 主 机 ) 


图 5-2 无 类 网 络 设计 


请 记 住 ,每 个 路 由 器 接口 上 可 使 用 长 度 不 同 的 子 网 掩 码 。 如 果 在 WAN 链 路 上 使 用 /30， 并 在 各 个 
LAN 上 分 别 使 用 /27、/28 和 /29， 则 WAN 链 路 将 有 两 个 主机 地 址 ， 而 各 个 LAN 分别 有 30、14 和 6 个 
主机 地 址 ， 这 太 好 了 ! 情形 得 到 了 极 大 改观 ， 不 仅 每 个 LAN 包含 正确 数量 的 主机 地 址 ， 我 们 还 可 在 
该 网 络 中 添加 WAN 和 LAN。 SN 


要 在 网 络 中 实现 VLSM 设计 ， pp 息 的 
注意 。 路 由 选择 协议 ， 这 包括 RIPv2、EIGRP 和 OSPF。RIPv1 和 IGRP 不 能 用 于 无 类 网 络 ， 
它们 是 分 类 路 由 选择 协议 。 


5.1.2 ”实现 VLSM 网 络 


要 快捷 而 高 效 地 制定 VLSM 设计 方案 ， 你 需要 知道 如 何 根据 块 大 小 来 确定 VLSM。 表 5-1 列 出 了 
在 C 类 网 络 中 使 用 VLSM 时 可 使 用 的 块 大 小 。 例 如 ， 如 果 需 要 支持 25 台 主 机 ， 你 需要 使 用 的 块 大 小 
为 32; 如 果 需 要 支持 11 台 主 机 ， 你 需要 使 用 的 块 大 小 为 6。 如 果 需 要 支持 40 台 主 机 呢 ? 你 需要 使 
用 的 块 大 小 为 64。 块 大 小 不 是 随意 的 ， 你 只 能 使 用 表 5-1 所 示 的 块 大 小 。 因 此 ， 请 记 住 该 表 列 出 的 块 
大 小 ， 这 很 容易 ， 它 们 与 我 们 用 于 子 网 划分 的 数字 相同 ! 
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表 5-1 块 大 小 
前 ”组 子 网 撞 码 主机 数 块 大 小 
/25 128 126 128 
/26 192 62 64 
/27 224 30 32 
/28 240 14 16 
/29 248 6 8 
/30 252 2 4 


A 
的 二 来 人 


为 何 要 如 此 麻烦 地 使 用 VLSM 设计 ? 


假设 你 刚 受 雇 于 一 家 公司 ， 负 责 扩充 现 有 网 络 。 你 可 以 在 该 网 络 中 采用 全 新 的 IP 地 址 方案 ， 
你 该 采用 VLSM 无 类 网 络 设计 还 是 分 类 网 络 设 计 呢 ? 

假设 你 有 大 量 地 址 空间 ， 因 为 决定 在 该 公司 环境 中 使 用 A 类 私有 网 络 地 址 10.0.0.0， 根 本 就 
不 会 出 现 卫 地 址 耗 尽 的 问题 。 为 何 要 如 此 麻烦 地 使 用 VLSM 设计 呢 ? 

这 个 问题 问 得 好 ， 我 们 必须 作出 合理 的 回答 ! 

因为 通过 在 网 络 特定 的 区 域 使 用 连续 的 地 址 块 ， 你 可 轻松 地 对 网 络 进行 汇总 ,从 而 最 大 限度 


地 减少 路 由 选择 协议 通告 的 路 由 更 新 。 若 只 需 在 大 楼 之 间 通 告 一 条 汇总 路 由 就 能 达到 相同 效果 ， 
谁 又 愿意 在 大 楼 之 间 通 告 数 百 条 路 由 呢 ? 

如 果 你 不 知道 汇总 路 由 是 什么 ,让 我 来 解释 给 你 听 。 汇 总 也 叫 超 网 化 (supernetting )， 它 
以 最 高 效 的 方式 提供 路 由 更 新 ， 这 是 通过 在 一 个 通告 中 通告 众多 路 由 ， 而 不 是 分 别 通告 它们 
来 实现 的 。 这 节省 了 大 量 带宽 ， 并 最 大 限度 地 降低 了 路 由 器 的 处 理 负担 。 通 过 使 用 成 块 的 地 
址 ( 别 忘 了 ， 前 面 列 出 的 块 大 小 适用 于 各 种 网 络 )， 我 们 可 配置 汇总 路 由 ， 让 网 络 的 性 能 得 到 
极 大 改善 。 

然而 ， 需 要 知道 的 是 ， 只 有 仔细 设计 网 络 ， 汇 总 才能 发 挥 作 用 。 如 果 不 小 心 从 事 ， 而 是 在 网 
络 中 随意 地 布置 IP 子 网 ， 你 很 快 就 将 发 现 没 有 任何 汇总 边界 。 没 有 了 汇总 边界 ， 在 创建 汇总 路 
由 的 路 上 你 就 走 不 远 ， 因 此 请 务必 小 心 。 


下 一 步 是 创建 一 个 VLSM 表 , 图 5-3 显示 了 组 建 VLSM 网 络 时 使 用 的 表 。 我 们 使 用 这 个 表 ， 旨 在 
避免 因 不 小 心 导 致 子 网 相互 重 答 。 

图 5-3` 所 示 的 表 很 有 用 ， 因 为 它 列 出 了 在 网 络 中 可 使 用 的 每 个 块 大 小 。 注 意 ,图 5-3 中 列 出 的 块 
大 小 为 4 一 128。 如 果 块 大 小 为 128， 则 你 只 可 以 有 两 个 这 样 的 子 网 ; 如 果 块 大 小 为 64， 则 你 可 以 有 4 
个 这 样 的 子 网 ; 以 此 类 推 ; 如 果 块 大 小 为 4, 则 你 可 以 有 64 个 这 样 的 子 网 。 注 意 ,这 些 是 在 网 络 设计 
中 使 用 了 命令 ip subnet-zero 的 情形 。 

现在 ， 只 需 填 写 左 下 角 的 表格 ， 将 子 网 加 入 到 工作 表 中 就 可 以 了 。 

下 面 使 用 有 关 块 大 小 的 知识 在 C 类 网 络 192.168.10.0 中 实现 VLSM， 结 果 如 图 5-4 所 示 。 然 后 ， 
我 们 填写 VLSM 表 ， 如 图 5-5 所 示 。 
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变 长 子 网 掩 码 工作 表 


4 
62 


4 


图 5-3 VLSM 表 


在 图 5-4 中 , 我 们 使 用 4 条 WAN 链 路 将 4 个 LAN 连接 了 起 来 。 我 们 需要 制定 一 个 VLSM 设计 方 
案 ， 以 节省 地 址 空间 。 图 5-4 中 有 两 个 子 网 要 求 的 块 大 小 为 32， 一 个 为 16， 一 个 为 8， 而 每 条 WAN 
链 路 要 求 的 块 大 小 都 为 4。 请 看 图 5-5， 看 看 我 是 如 何 填 写 VLSM 表 的 。 

这 种 VLSM 网 络 设计 方案 提供 了 很 大 的 扩容 空间 。 

如 果 使 用 分 类 路 由 选择 ， 我 们 将 只 能 使 用 一 个 子 网 掩 码 ， 根 本 无 法 达到 这 样 的 目的 。 再 来 看 一 个 
示例 ， 如 图 5-6 所 示 ， 它 有 11 个 子 网 ， 其 中 两 个 要 求 的 块 大 小 为 64， 一 个 为 32，5 个 为 16, 还 有 3 
个 为 4。 
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图 5-4 VSLM 网 络 示例 1 


变 长 子 网 掩 码 工作 表 
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图 5-5 VLSM 表示 例 1 
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图 5-6 VLSM 网 络 示 例 2 


首先 , 创建 VLSM 表 ， 并 根据 块 大 小 确定 所 需 的 子 网 。 图 5-7 提供 了 一 种 可 能 的 解决 方案 。 
变 长 子 网 掩 码 工作 表 
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注意 ， 整 个 图 表 都 差不多 填 满 了 ， 只 能 再 添加 一 个 块 大 小 为 4 的 子 网 。 只 有 使 用 VLSM 才能 如 此 
节省 地 址 空间 。 

请 记 住 ， 块 大 小 的 开始 位 置 无 关 紧 要 ， 只 要 始 于 其 整数 倍 处 即 可 。 例 如 ， 如 果 块 大 小 为 16， 你 必 
须 从 0、16、32、48 等 处 开始 ， 而 不 能 从 40 开始 ， 也 不 能 使 用 除 16 外 的 其 他 增 量 。 

再 举 一 个 例子 。 如 果 块 大 小 为 32， 你 必须 这 样 从 0、32、64、96 等 处 开始 。 请 记 住 ， 我 们 不 能 想 
从 哪里 开始 就 从 哪里 开始 ， 而 必须 从 块 大 小 的 整数 倍 处 开始 。 在 图 5-7 所 示 的 示例 中 ,我 从 64 和 128 
开始 ， 因 为 块 大 小 为 64。 可 供 选 择 的 空间 不 大 ， 因 为 我 只 能 选择 0、64、128 或 192。 然 而 ， 我 在 想 
要 的 地 方 添加 了 抉 大 小 32、16、8 和 4， 只 要 它们 始 于 相应 块 大 小 的 整数 倍 处 。 

来 看 一 个 VLSM 设计 示例 ， 如 图 5-8 所 示 ， 其 中 列 出 了 路 由 器 A 的 S0/0 接 口 的 中 地 址 。 你 需要 
给 3 个 子 网 编 址 ， 该 网 络 使 用 网 络 地 址 192.168.55.0， 而 你 将 配置 命令 ip subnet-zero， 并 将 RIPv2 
用 作 路 由 选择 协议 。( RIPv2 支持 VLSM， 而 RIPvl 不 支持 ， 它 们 都 将 在 第 8 章 介 绍 。) 
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图 5-8 VLSM 设计 示例 1 


从 该 图 右上 角 的 全 地 址 列表 可 知 , 我 们 将 给 每 台 路 由 器 的 F0/0 接口 以 及 路 由 器 B 的 S0/1 接口 分 
配 什么 样 的 外 地址 呢 ? 

为 回答 这 个 问题 ,我 们 首先 在 图 5-8 中 寻找 线索 。 第 一 条 线索 是 , 设计 者 给 路 由 器 A 的 接口 S0/0 
分 配 了 IP 地 址 192.168.55.2/30， 因 此 这 个 问题 很 容易 回答 。 你 知道 ，/30 对 应 的 子 网 掩 码 为 
255.255.255.252, 它 提供 的 块 大 小 为 4， 因 此 子 网 为 0、4、8 等 。 鉴 于 已 知 的 IP 地址 为 2, 该 子 网 ( 子 
网 0 ) 中 唯一 可 用 的 另 一 个 合法 主机 地 址 为 1， 它 必然 是 路 由 器 B 的 接口 SO/1 的 地 址 。 

接 下 来 的 线索 是 图 中 列 出 的 每 个 LAN 包含 的 主机 数 。 路 由 器 A 需要 7 个 主机 地 址 ， 它 要 求 的 块 
大 小 为 16 (/28 ); 路 由 器 B 需 要 90 个 主机 地 址 ， 要 求 的 块 大 小 为 128(/25 ); 路 由 器 C 需 要 23 个 主 
机 地 址 ， 要 求 的 块 大 小 为 32 ( /27 )。 

图 5-9 指出 了 这 个 问题 的 答案 。 

确定 每 个 LAN 要求 的 块 大 小 后 ， 这 个 问题 就 非常 简单 了 一 一 你 只 需 查 找 正确 的 线索 。 

讨论 汇总 前 , 再 介绍 一 个 VLSM 设计 示例 。 在 图 5-10 中 有 3 台 路 由 器 ,它们 都 运行 RIPv2。 为 满 . 
足 该 网 络 的 需求 ， 同 时 尽 可 能 节省 地 址 空间 ， 你 该 使 用 什么 样 的 C 类 编 址 方案 呢 ? 
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图 5-9 VLSM 


子 网 4: 串 行 接口 1 


i 


60 台 主 机 
子 网 1 


路 由 器 B 


Te 
A 


:机 


5.1 变 长 子 网 掩 码 (VLSM ) 131 


S0/1:192.168.55.1/30 
路 由 器 C 
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192.168.55.57/27 


23 台 主机 


设计 示例 1 的 解决 方案 
子 网 5: 串 行 接口 2 
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上 “加 ” 
30 台 主 机 12 台 主 机 
子 网 2 子 网 3 


图 5-10 VLSM 设计 示例 2 


这 很 简单 ,你 只 需 填写 图 表 即 可 .3 个 LAN 
要 求 的 块 大 小 分 别 为 64、32 和 16， 而 两 条 串 
行 连接 要 求 的 块 大 小 为 4。 你 需要 做 的 就 是 临 
门 一 脚 ， 请 看 我 的 答案 ， 如 图 5-11 所 示 。 

我 是 这 样 做 的 : 从 子 网 0 开始 ， 将 其 块 大 
小 设置 为 64。( 并 非 一 定 要 这 样 做 ， 我 们 也 可 
将 子 网 0 的 块 大 小 设置 为 4， 但 我 通常 喜欢 从 
最 大 块 大 小 开始 ， 依 次 向 下 处 理 到 最 小 的 块 大 
小 。) 接 下 来 , 我 添加 了 块 大 小 为 32 和 16 的 子 
网 ， 再 添加 两 个 块 大 小 为 4 的 子 网 。 在 这 个 网 
络 中 , 还 有 很 大 的 空间 可 供 添加 子 网 一 一 真 棒 ! 


1: 192.168.10.0/26 


2: 192.168.10.64/27 


3: 192.168.10.96/28 


4: 192.168.10.112/30 


0 
4 
8 
12 
16 
20 
24 
2 

辽 
36 
40 
44 
48 
52 
56 
60 
64 
68 
72 
7 

80 
8 

88 
92 
96 
100 
104 
108 
112 
ja0 5: 192.168.10.116/30 
1 

128 


为 简化 截 除 了 一 部 分 
图 5-11 VLSM 设计 示例 2 的 解决 方案 
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5.2 汇总 
汇总 也 叫 路 由 聚合 ， 让 路 由 选择 协议 能 够 用 一 个 地 址 通告 众多 网 络 ， 旨 在 缩小 路 由 器 中 路 由 选择 


表 的 规模 ， 以 节省 内 存 ， 并 缩短 卫 对 路 由 选择 表 进 行 分 析 以 找 出 前 往 远 程 网 络 的 路 径 所 需 的 时 间 。 
图 5-12 说 明了 在 互联 网 络 中 使 用 的 汇总 地 址 。 


10.0.0.0/8 
10.0.0.0/16 We 本 
10.1.0.0/16 > ， 
10.2.0.0/16... 二 | 


10.255.0.0/16 
图 5-12 在 互联 网 络 中 使 用 的 汇总 地 址 


汇总 实际 上 比较 简单 ,因为 你 只 需 确定 块 大 小 , 而 这 些 块 大 小 我 们 在 学 习 子 网 划分 和 VLSM 设计 时 
都 使 用 过 。 例 如 ， 如 果 要 将 如 下 网 络 汇总 到 一 个 网 络 通告 中 ,只 需 确定 块 大 小 , 你 就 能 轻松 地 找 出 答案 : 

网 络 192.168.16.0 一 192.168.31.0 

块 大 小 是 多 少 呢 ? 这 总 共 恰 好 有 16 个 C 类 网 络 ， 使 用 块 大 小 16 刚好 能 满足 需求 。 

知道 块 大 小 后 ， 你 便 可 确定 网 络 地 址 和 子 网 掩 码 ， 它 们 可 用 于 将 这 些 网 络 汇总 到 一 个 通告 中 。 用 
于 通告 汇总 地 址 的 网 络 地 址 总 是 块 中 的 第 一 个 网 络 地 址 ， 这 里 为 192.168.16.0。 在 这 个 例子 中 ， 为 确 
定子 网 掩 码 ,什么 样 的 子 网 掩 码 提供 的 块 大 小 为 16 呢 ? 答案 是 240, 应 将 第 三 个 字 节 ( 进行 汇总 的 字 
节 ) 设置 为 240， 因 此 子 网 掩 码 为 255.255.240.0。 


在 第 9 章 ， 你 将 学 习 如 何在 路 由 器 上 汇总 这 些 地 址 。 
一 


再 举 一 个 例子 ; 

网 络 172.16.32.0~172.16.50.0 

这 个 例子 没有 前 一 个 例子 简单 ， 因 为 有 两 个 可 能 的 答案 ， 其 原因 如 下 : 由 于 第 一 个 网 络 为 32， 可 
供 选 择 的 块 大 小 为 4、8、16 和 32; 就 这 个 示例 而 言 ， 块 大 小 16 和 32 都 可 行 。 

答案 1: 如 果 使 用 块 大 小 16， 则 汇总 地 址 为 172.16.32.0 255.255.240.0( 240 提供 的 块 大 小 为 16 )。 
然而 ， 这 只 汇总 了 网 络 32~47， 也 就 是 说 ， 将 使 用 另 一 个 地 址 通告 网 络 48 一 50。 这 可 能 是 最 佳 的 答 
案 ， 但 是 否 如 此 取决 于 网 络 设 计 。 下 面 来 看 第 二 个 答案 。 

答案 2: 如 果 使 用 块 大 小 32， 则 汇总 地 址 为 172.16.32.0 255.255.224.0( 224 提供 的 块 大 小 为 32 )。 
这 个 答案 可 能 存在 的 问题 是 ， 它 将 汇总 网 络 32~63， 但 这 里 只 使 用 了 网 络 32 一 0。 如 果 你 打算 以 后 
添加 网 络 51 ~ 63， 则 没有 什么 可 担心 的 ， 但 如 果 网 络 51 ~ 63 出 现在 其 他 地 方 并 被 通告 ， 互 联网 络 将 
出 现 严重 的 问题 ! 这 就 是 前 一 个 答案 更 安全 的 原因 所 在 。 

再 来 看 一 个 示例 ， 但 这 次 从 主机 的 角度 看 。 

如 果 汇 总 地 址 为 192.168.144.0/20, 我 们 将 根据 它 转发 前 往 哪些 主机 地 址 的 分 组 ? 在 这 里 , 汇总 地 
址 为 192.168.144.0， 子 网 掩 码 为 255.255.240.0。 

第 三 个 字 节 的 块 大 小 为 16， 而 被 汇总 的 第 一 个 地 址 为 192.168.144.0， 在 第 三 个 字 节 加 上 块 大 小 
16 后 为 160， 因 此 汇总 的 地 址 范围 为 144 一 159。 
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在 路 由 选择 表 中 包含 该 汇总 地 址 的 路 由 器 将 转发 目标 IP 地 址 为 192.168.144.1 一 192.168.15S9.254 
的 任何 分 组 。 
下 面 再 举 两 个 例子 ， 然 后 介绍 IP 编 址 故障 排除 。 
在 图 5-13 中 ,路 由 器 RI1 连接 的 以 太 网 被 汇总 为 192.168.144.0/20， 再 通告 给 R2。RI 会 根据 该 汇 
总 地 址 将 前 往 哪些 IP 地 址 的 分 组 转发 给 R2 呢 ? 
ee 的 有 本 网 了 | 总 为 192.168.144.0/20， 


把 将 入 扣 该 汇总 地 址 将 前 往 哪 些 IP 
地 址 的 分 组 转发 给 R1 呢 ? 


一 二 各 一 一 二 CO 


一 一 一 一 一 一 一 一 
192.168.144.0/20 
图 5-13 汇总 示例 1 


路 由 器 RI1 连接 的 以 太 网 被 汇总 为 192.168.144.0/20， 再 通告 给 R2。R2 将 根据 该 汇总 地 址 将 前 往 
哪些 IP 地 址 的 分 组 转发 给 R1 呢 ? 

不 用 担心 ， 这 个 问题 没有 看 起 来 那么 难 。 在 这 个 问题 中 ,我 们 实际 上 列 出 了 汇总 地 址 
192.168.144.0/20。 你 知道 , /20 对 应 的 子 网 掩 码 为 255.255.240.0, 这 意味 着 第 三 个 字 节 的 块 大 小 为 16。 
被 汇总 的 第 一 个 网 络 为 144( 这 也 在 问题 中 指出 了 )， 下 一 个 块 的 起 始 位 置 为 160， 因 此 第 三 个 字 节 不 
能 超过 159。 因 此 ，R1 会 根据 该 汇 总 起 赴 将 神往 IP 地 址 192.168.144.1 ~ 192.168.159.254 的 分 组 转发 
给 R2。 

来 看 最 后 一 个 示例 。 在 图 5-14 中 ， 路 由 器 Rl1 连接 了 5 个 网 络 ， 请 问 将 什么 样 的 汇总 地 址 通告 给 
R2 最 合适 ? 


yy 172.1.4.0/25 
be 


> 
< 


Em 


~ 172.1.6.0/24 7 
A 


站 


一 一 一 一 一 一 
172.1.4.128/25 将 什么 样 的 汇总 地 址 通告 给 R2 最 合适 ? 


图 5-14 汇总 示例 2 


坦率 地 说 , 这 个 问题 比 图 5-13 所 示 的 问题 难得 多 。 你 需 费 很 大 精力 才能 找 出 其 答案 。 首 先 , 你 需 
将 所 有 这 些 网 络 写 下 来 ,看 它们 有 什么 相同 的 地 方 。 
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口 172.1.4.128/25 
口 172.1.7.0/24 
口 172.1.6.0/24 
口 172.1.5.0/24 
口 172.1.4.0/25 


你 发 现 感 兴趣 的 字 节 了 吗 ? 我 发 现 了 ， 那 就 是 第 三 个 字 节 , 分 别 是 4、5、6、7, 这 意味 着 块 大 小 
为 4。 因此， 你 可 使 用 汇总 地 址 172.1.4.0 和 子 网 掩 码 255.255.252.0， 这 意味 着 第 三 个 字 节 的 块 大 小 为 
4。R1 将 根据 该 汇总 转发 前 往 人 P 地 址 172.1.4.1 ~ 172.1.7.255 的 分 组 。 

现 对 本 节 总 结 如 下 : 基本 上 , 确定 块 大 小 后 , 确定 并 应 用 汇总 地 址 和 子 网 掩 码 将 非常 容易 。 然 而 ， 
如 果 不 知 道 /20 对 应 的 子 网 掩 码 ， 或 者 不 知道 如 何 计算 16 的 倍数 ， 你 将 马上 陷入 困境 。 


5.3 排除 iP 编 址 故障 


显然 , 排除 人? 编 址 故障 是 一 项 重要 的 技能 ， 因 为 你 肯定 会 遇 到 麻烦 。 我 不 是 悲观 主义 者 ， 而 只 是 
告诉 你 实情 。 鉴 于 这 种 糟糕 的 现实 情况 ， 如 果 无 论 你 上 班 还 是 下 班 在 家 ， 都 能 够 找 出 〈 诊 断 ) 并 修复 
问题 ， 从 而 力挽狂澜 ， 那 该 多 好 哇 ! 

因此 ， 这 里 将 介绍 思科 排除 人 P 编 址 故障 的 方式 。 下 面 以 图 5-15 所 示 的 基本 IP 故障 为 例 : 可 怜 的 
Sally 登录 不 了 Windows 服务 器 。 面 对 这 种 情形 ， 你 会 致电 微软 开发 小 组 ， 指 责 他 们 的 服务 器 是 一 堆 
垃圾 ， 所 有 的 问题 都 因 它 而 起 吗 ? 这 可 能 不 是 什么 好 主意 ， 还 是 先 复查 网 络 吧 。 


ally 服务 器 
172.16.10.2 172.16.20.2 
图 5-15 ”排除 基本 的 下 故障 


先 来 介绍 一 下 思科 采取 的 故障 排除 步骤 。 这 些 步骤 非常 简单 , 但 很 重要 。 假设 你 正在 客户 的 旁边 ， 
他 抱怨 自己 无 法 与 位 于 远程 网 络 中 的 服务 器 通信 ， 下 面 是 思科 推荐 的 4 个 故障 排除 步骤 。 

(D 打开 命令 提示 符 窗口 ， 并 ping 127.0.0.1。 这 是 诊断 ( 环 回 ) 地 址 ， 如 果 ping 操作 成 功 ， 则 说 
明 IP 栈 初 始 化 了 。 如 果 失 败 ， 说 明 IP 栈 出 现 了 故障 ， 你 需要 在 主机 上 重新 安装 TCP/IP。 

C:\>ping 127.0.0.1 

Pinging 127.0.0.1 with 32 bytes of data: 

Reply from 127.0.0.1: bytes=32 time<lms TTL=128 


Reply from 127.0.0.1: bytes=32 time<ims TTL=128 
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Reply from 127.0.0.1: bytes=32 time<lms TTL=128 
Reply from 127.0.0.1: bytes=32 time<lms TIL=128 
Ping statistics for 127.0.0.1: 
Packets: Sent = 4, Received = 4, {Lost = 0 (0% 1oss)， 
Approximate round trip times in milli-seconds: 
Minimum = Oms, Maximum = Oms, Average = Oms 
(2) 在 命令 提示 符 窗口 中 ，ping 当前 主机 的 下 地 址 。 如 果 成 功 ， 则 说 明 网 络 接口 卡 (NIC ) 正常 ; 
如 果 失 败 , 则 说 明 NIC 出 现 了 故障 。 这 一 步 成 功 并 不 意味 着 电缆 被 插入 了 NIC, 而 只 意味 着 主机 的 下 
协议 栈 能 够 与 NIC 通信 (通过 LAN 驱动 程序 )。 
C:\>ping 172.16.10.2 
Pinging 172.16.10.2 with 32 bytes of data: 
Reply from 172.16.10.2: bytes=32 time<lms TTL=128 
Reply from 172.16.10.2: bytes=32 time<lms TTL=128 
Reply from 172.16.10.2: bytes=32 time<lms TTL=128 
Reply from 172.16.10.2: bytes=32 time<lms TTL=128 
Ping statistics for 172.16.10.2: 
Packets: Sent = 4, Received = 4, Lost = 0 (0% 1oss)， 
Approximate round trip times in milli-seconds: 
Minimum = Oms, Maximum = Oms, Average = Oms 


(3) 在 命令 提示 符 窗口 中 ，ping 默认 网 关 ( 路 由 器 )。 如 果 成 功 ,， 说明 NIC 连接 到 了 网 络 ， 能 够 与 
本 地 网 络 通信 。 如 果 失 败 ， 则 说 明 本 地 物理 网 络 出 现 了 故障 ， 该 故障 可 能 位 于 NIC 到 路 由 器 之 间 的 任 
何 地 方 。 
C:\>ping 172.16.10.1 
Pinging 172.16.10.1 with 32 bytes of data: 
Reply from 172.16.10.1: bytes=32 time<lms TTL=128 
Reply from 172.16.10.1: bytes=32 time<lms TTL=128 
Reply from 172.16.10.1: bytes=32 time<lms TTL=128 
Reply from 172.16.10.1: bytes=32 time<lms TTL=128 
Ping statistics for 172.16.10.1: 
Packets: Sent = 4, Received = 4, Lost = 0 (0% 1oss)， 
Approximate round trip times in milli-seconds: 
Minimum = Oms, Maximum = Oms, Average = Oms 


(4) 如 果 第 (1) 步 至 第 (3) 步 都 成 功 了 ,请 尝试 ping 远程 服务 器 。 如 果 成 功 ， 你 便 可 确定 本 地 主机 和 
远程 服务 器 能 够 进行 PP 通信 ， 且 远程 物理 网 络 运 行 正常 。 

C:\>ping 172.16.20.2 

Pinging 172.16.20.2 with 32 bytes of data: 

Reply from 172.16.20.2: bytes=32 time<lms TTL=128 

Reply from 172.16.20.2: bytes=32 time<lms TTL=128 

Reply from 172.16.20.2: bytes=32 time<lms TTL=128 

Reply from 172.16.20.2: bytes=32 time<lms TTL=128 


136 第 5$ 章 变 长 子 网 掩 码 (VLSM )、 汇 总 和 TCP/IP 故障 排除 


Ping statistics for 172.16.20.2: 
Packets: Sent = 4, Received = 4, Lost = 0 (0% 1oss)， 
Approximate round trip times in milli-seconds: 
Minimum = Oms, Maximum = Oms, Average = Oms 
如 果 第 (1) 步 至 第 (4) 步 成 功 了 , 但 用 户 仍 不 能 与 服务 器 通信 , 则 可 能 存在 某 种 名 称 解析 问题 ， 需要 
检查 域名 系统 (DNS ) 设置 。 如 果 ping 远程 服务 器 时 失败 ， 你 便 可 确定 存在 某 种 远程 物理 网 络 问题 ， 
需要 对 服务 器 执行 第 (1) 步 ~ 第 (3) 步 操作 ， 直 到 找 出 罪魁 祸首 。 
介绍 如 何 找 出 并 修复 他 地 址 问题 前 ,我 们 必须 介绍 一 些 基 本 命令 ,它们 有 助 于 排除 PC 和 思科 路 
由 器 中 的 网 络 故障 。( 在 PC 和 思科 路 由 器 中 ， 这 些 命令 的 功能 可 能 相同 ， 但 实现 方式 可 能 不 同 。) 
口 ping〈Packet InterNet Groper) ”使 用 ICMP 回应 请 求 和 应 答 进行 测试 ， 检 查 网 络 中 节点 的 
IP 栈 是 否 已 被 初始 化 并 处 于 活动 状态 。 
口 traceroute 使 用 TTL 超时 和 ICMP 错误 消息 ， 显 示 前 往 某 个 网 络 目的 地 时 经 历 的 路 径 上 的 
所 有 有 路由器。 该 命令 不 能 在 命令 提示 符 窗口 中 使 用 。 
口 tracert 功能 与 traceroute 相同 ， 是 一 个 Microsoft Windows 命令 ， 在 思科 路 由 器 上 不 管用 。 
口 arp -a 在 Windows PC 中 显示 全 地 址 到 MAC 地 址 的 映射 。 
口 show ip arp 功能 与 arp -a 相同 ， 但 用 于 在 思科 路 由 器 中 显示 ARP 表 。 与 命令 traceroute 
和 tracert 一 样 ， 命 令 arp -a 和 show ip arp 也 只 能 分 别 用 于 DOS 和 思科 路 由 器 中 。 
口 ipconfig /al1 只 能 在 命令 提示 符 窗口 中 使 用 ， 显 示 PC 的 网 络 配置 。 
采取 前 面 介绍 的 步骤 并 在 必要 情况 下 使 用 了 合适 的 DOS 命令 ， 如 果 找 出 了 问题 所 在 ， 你 该 如 何 
办 呢 ? 如 何 修复 全 地 址 配置 错误 ? 下 面 介绍 如 何 找 出 并 修复 卫 地 址 问题 。 


找 出 IP 地 址 问题 


我 们 很 可 能 会 给 主机 、 路 由 器 和 其 他 网 络 设备 配 置 错误 的 卫 地 址 、 子 网 掩 码 或 默认 网 关 。 鉴 于 这 
样 的 情况 经 常 发 生 ， 下 面 介绍 如 何 找 出 并 修复 P 地 址 配置 错误 。 

执行 4 个 基本 的 故障 排除 步骤 并 确定 存在 问题 后 ， 你 需要 找 出 并 修复 它 。 为 此 ,绘制 出 网 络 示意 
图 和 IP 编 址 方案 很 有 帮助 。 如 果 你 已 经 这 样 做 了 , 说明 你 运气 好 , 可 以 去 买 彩 票 了 ， 因 为 虽然 应 该 如 
此 ， 但 却 很 少 有 人 如 此 做 。 如 果 已 经 绘制 了 网 络 示意 图 ， 它 通常 是 过 时 或 不 那么 准确 的 。 通 常情 况 是 
网 络 示意 图 还 未 绘制 ， 在 这 种 情况 下 ， 你 必须 咬 紧 牙关 ， 从 头 开始 绘制 。 


络 示 意图 。 


准确 绘制 网 络 示意 图 (包括 IP 编 址 方案 ) 后 ， 你 需要 核实 每 台 主 机 的 IP 地 址 、 子 网 掩 码 和 默 
认 网 关 地 址 ， 以 找 出 问题 。( 这 里 假设 没有 物理 层 问 题 ， 或 者 即使 存在 这 样 的 问题 ， 你 也 已 经 将 其 
解决 了 。 ) 

来 看 图 5-16 中 的 示例 。 销 售 部 的 一 位 用 户 给 你 打 电 话 ， 说 她 无 法 访问 市 场 营销 部 的 服务 器 A。 
你 问 她 能 否 访问 市 场 营销 部 的 服务 器 B， 她 说 不 知道 ， 因 为 她 没有 登录 该 服务 器 的 权限 。 你 该 如 何 
办 呢 ? 
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销售 部 市 场 营销 部 
服务 器 A 服务 器 B 
192.168.1.33 192.168.1.66 192.168.1.65 
默认 网 关 : 默认 网 关 : 默认 网 关 : 
192.168.1 62 192.168.1.95 192.168.1.95 


192.168.1.97/27 192.168.1.100/27 
图 5-16 ”IP 地 址 问题 1 


你 让 她 执行 前 面 介绍 的 4 个 故障 排除 步骤 。 第 (1) 步 至 第 (3) 步 成 功 了 ， 但 第 (4) 步 失败 了 。 查 看 图 
5-16， 你 能 判断 出 问题 所 在 吗 ? 请 在 网 络 示意 图 中 寻找 线索 。 首 先 ， 路 由 器 Lab A 和 Lab _B 之 间 的 
WAN 链 路 使 用 的 子 网 掩 码 为 /27。 你 知道 ， 它 对 应 255.255.255.224， 然 后 确定 所 有 网 络 都 使 用 该 子 网 
掩 码 。 网 络 地 址 为 192.168.1.0, 合法 的 子 网 和 主机 地 址 是 什么 呢 ?”256 一 224 =32, 因此 子 网 为 32、64、 
96、128 等 。 由 图 5-16 可 知 ， 销 售 部 使 用 的 是 子 网 32，WAN 链 路 使 用 的 是 子 网 96， 而 市 场 营 销 部 使 
用 的 是 子 网 64。 

现在 ， 你 需要 确定 每 个 子 网 的 合法 主机 地 址 范围 。 使 用 本 章 开 头 讲述 的 知识 ， 你 很 容易 确定 子 网 
地 址 、 广 播 地 址 和 合法 的 主机 地 址 范围 。 销 售 部 LAN 的 合法 主机 地 址 为 33 一 62， 而 广播 地 址 为 63， 
因为 下 一 个 子 网 为 64。 对 于 市 场 营销 部 LAN, 合法 的 主机 地 址 为 65 一 94, 广播 地 址 为 95; 对 于 WAN 
链 路 , 合法 的 主机 地 址 为 97 ~126, 广播 地 址 为 127。 查看 图 5-16, 你 可 判断 路 由 器 Lab_B 的 地 址 ( 默 
认 网 关 地 址 ) 不 正确 。 这 个 地 址 是 子 网 64 的 广播 地 址 ， 不 是 合法 的 主机 地 址 。 

你 全 明白 了 吗 ? 也 许 我 们 应 该 再 看 一 个 示例 。 图 5-17 存在 一 个 网 络 问题 : 销售 部 LAN 的 一 位 用 
户 无 法 访问 服务 器 B。 你 让 这 位 用 户 执行 前 面 的 4 个 基本 故障 排除 步骤， 发 现 该 主机 能 够 与 本 地 网 络 
通信 ， 但 不 能 与 远程 网 络 通 信 。 请 找 出 并 描述 存在 的 IP 编 址 问题 。 

如 果 与 解决 前 一 个 问题 时 使 用 相同 的 步骤 ,你 将 发 现 图 中 也 指出 了 WAN 链 路 使 用 的 子 网 掩 码 /29， 
即 255.255.255.248。 假 设 采用 的 是 分 类 编 址 ， 为 找 出 问题 所 在 ， 你 需要 确定 子 网 、 广 播 地 址 和 合法 的 
主机 地 址 范围 。 

子 网 掩 码 248 提供 的 块 大 小 为 8 (256 - 248 = 8， 这 在 第 4 章 讨论 过 )， 因 此 子 网 为 8 的 倍数 。 由 
图 5-17 可 知 ， 销 售 部 LAN 使 用 的 是 子 网 24，WAN 链 路 使 用 的 是 子 网 40， 而 市 场 营 销 部 使 用 的 是 子 
网 80。 你 还 没有 看 出 问题 所 在 吗 ? 销售 部 LAN 的 合法 主机 地 址 范围 为 25 一 30， 其 配置 看 起 来 正确 ; 
WAN 链 路 的 合法 主机 地 址 范围 为 41 一 46, 其 配置 看 起 来 也 正确 ; 子 网 80 的 合法 主机 地 址 范围 为 81 一 
86， 而 其 广播 地 址 为 87， 因 为 下 一 个 子 网 为 88。 这 里 给 服务 器 B 配置 的 是 该 子 网 的 广播 地 址 。 
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销售 部 市 场 营销 部 
服务 器 A 服务 器 B 
192.168.1.25 192.168.1.86 192.168.1.87 
默认 网 关 : 默认 网 关 : 默认 网 关 : 
30 192.168.1.81 


192.168,1, 


[ 


192.168.1.81 


图 S00 一 一 一 一 so0/0 
DCE ™ 
192.168.1.41/29 192.168.1.46/29 


图 5-17 人 PP 地 址 问题 2 


至 此 ， 你 能 够 发 现 给 主机 配置 的 IP 地 址 不 正确 的 问题 ， 但 如 果 主 机 没有 全 地址， 需要 给 它 分 配 
一 个 ， 该 如 何 办 呢 ? 你 需要 做 的 是 ， 查 看 该 LAN 中 的 其 他 主机 ， 以 确定 网 络 地 址 、 子 网 掩 码 和 默认 
网 关 。 下 面 通过 几 个 例子 介绍 如 何 确定 合法 的 中 地址 并 将 其 分 配给 主机 。 

假设 需要 给 LAN 中 的 服务 器 和 路 由 器 分 配 下 地址， 而 分 配给 该 网 段 的 子 网 为 192.168.20/24/29， 
且 需 要 将 第 一 个 可 用 的 卫 地 址 分 配给 路 由 器 ， 并 将 最 后 一 个 合法 的 主机 ID 分 配给 服务 器 。 请 问 分 配 
给 服务 器 的 IP 地 址 、 子 网 掩 码 和 默认 网 关 分 别 是 什么 ? 

要 回答 这 个 问题 ,你 必须 知道 /29 对 应 的 子 网 掩 码 为 255.255.255.248, 它 提 供 的 块 大 小 为 8。 已 知 
所 属 的 子 网 为 24， 因 此 下 一 个 子 网 为 32， 而 子 网 24 的 广播 地 址 为 31， 所 以 合法 的 主机 地 址 范围 为 
25 一 30。 

服务 器 的 全 地 址 : 192.168.20.30 

服务 器 的 子 网 掩 码 : 255.255.255.248 

默认 网 关 : 192.168.20.25 (路 由 器 的 卫 地 址 ) 

再 来 看 一 个 例子 。 请 看 图 5-18， 并 解决 下 面 的 问题 : 

根据 路 由 器 接口 E0 的 IP 地址， 确定 可 分 配给 主机 的 IP 地址 范围 和 子 网 掩 码 。 

路 由 器 接口 E0 的 人 P 地 址 为 192.168.10.33/27。 你 知道 ，/27 对 应 的 子 网 掩 码 为 224， 它 提供 的 块 
大 小 为 32。 该 路 由 器 的 接口 位 于 子 网 32 中 ， 而 下 一 个 子 网 为 64， 因 此 子 网 32 的 广播 地 址 为 63, 合 
法 的 主机 地 址 范围 为 33 一 62。 

.主机 下 地址 ;192.168.10.34 一 192.168.10.62( 该 范围 内 的 任何 地 址 ,但 已 分 配给 路 由 器 的 33 除外 )。 

子 网 掩 码 : 255.255.255.224 

默认 网 关 : 192.168.10.33 

图 5-19 中 有 两 台 路 由 器 , 且 给 它们 的 E0 接口 分 配 了 了 全 地 址 。 请问 可 将 什么 样 的 主机 地 址 和 子 网 
掩 码 分 配给 主机 A 和 主机 B? 
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路 由 器 A 


二 


E0: 192.168.10.33/27 


[| 
FE | ) 
主机 A 
图 5-18 ”确定 合法 的 主机 地 址 范围 1 


路 由 器 A 路 由 器 B 
上 
a 人 

E0: 192.168.10.65/26 E0: 192.168.10.33/28 


ee 和 [| 
= | 
主机 A 主机 B 


图 5-19 ”确定 合法 的 主机 地 址 范围 2 


路 由 器 A 的 他 地 址 为 192.168.10.65/26， 而 路 由 器 B 的 IP 地 址 为 192.168.10.33/28。 可 如 何 配 置 主 
机 呢 ? 路 由 器 A 的 接口 E0 位 于 子 网 192.168.10.64 中 ,而 路 由 器 B 的 接口 E0 位 于 子 网 192.168.10.32 中 。 

主机 A 的 下 地 址 : 192.168.10.66 一 192.168.10.126 

主机 A 的 子 网 掩 码 : 255.255.255.192 

主机 A 的 默认 网 关 : 192.168.10.65 

主机 B 的 吾 地 址 : 192.168.10.34 一 192.168.10.46 

主机 B 的 子 网 掩 码 : 255.255.255.240 

主机 B 的 默认 网 关 : 192.168.10.33 

在 结束 本 章 前 ， 再 介绍 几 个 例子 。 

图 5-20 中 有 两 台 路 由 器 , 你 需要 配置 路 由 器 B 的 接口 S0/0。 分 配给 路 由 器 A 接口 $0/0 的 IP 地 址 
为 172.16.17.0/22， 请 问 可 给 路 由 器 B 的 接口 $0/0 分 配 什么 全 地址? 


172.16.17.0/22 

路 由 器 A 路 由 器 B 

Ge 一 
a 下 — 

、 | S0/0 so 弹 


图 5-20 ”确定 合法 的 主机 地 址 范围 3 
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首先 , 你 必须 知道 CIDR 值 /22 对 应 的 子 网 掩 码 为 255.255.252.0, 这 使 得 第 三 个 字 节 的 块 大 小 为 4。 
根据 17.0 可 知 ,合法 的 主机 地 址 范围 为 16.1 ~ 19.254。 因 此 , 可 给 接口 SO/0 分 配 卫 地 址 172.16.18.255， 
因为 它 位 于 上 述 范围 内 。 

来 看 最 后 一 个 示例 。 假 设 给 你 分 配 了 一 个 C 类 网 络 ID ， 而 你 需要 给 每 个 城市 提供 一 个 子 网 ， 且 
每 个 子 网 包含 足够 多 的 主机 地 址 ， 如 图 5-21 所 示 。 你 该 使 用 什么 样 的 子 网 掩 码 ? 


7 位 用 户 


洛杉矶 旧金山 纽约 怀俄明 
15 位 用 户 13 位 用 户 7 位 用 户 16 位 用 户 
图 5-21 确定 合法 的 子 网 掩 码 


实际 上 ,这 个 问题 可 能 是 本 章 中 最 简单 的 ! 由 图 5-21 可 知 , 我们 需要 5 个 子 网 ， 而 怀俄明 州 的 分 
支 机 构 有 16 位 用 户 ( 总 是 找 出 需要 最 多 主机 地 址 的 网 络 )。 该 分 支 机 构 要 求 的 块 大 小 是 多 少 呢 ?”32( 别 
忘 了 , 不 能 使 用 块 大 小 16, 因为 主机 数 为 块 大 小 减 2 )。 什么 样 的 子 网 掩 码 提供 的 块 大 小 为 32 呢 ? 224。 
它 提供 8 个 子 网 ， 每 个 子 网 可 包含 30 台 主 机 。 

本 章 到 这 里 就 结束 了 ， 好 好 休息 一 下 ， 再 回来 完成 书面 实验 和 复习 题 。 


5.4 ”小结 


阅读 第 3 章 、 第 4 章 和 第 5 章 时 ， 第 一 遍 就 明白 了 其 中 介绍 的 所 有 内 容 吗 ? 如 果 是 这 样 ， 那 太 好 
了 ,祝贺 你 ! 通常 情况 下 ， 你 可 能 阅读 两 三 遍 后 还 有 不 明白 的 地 方 ; 正如 前 面 指出 的 ， 这 很 正常 ， 不 
用 担心 。 如 果 你 必须 阅读 多 遍 { 甚至 多 达 10 遍 ) 才 真 正明 白 这 3 章 的 内 容 ， 也 不 用 难过 。 

本 章 让 你 能 够 对 变 长 子 网 掩 码 有 深入 认识 ,阅读 完 后 ， 你 应 该 知道 如 何 设计 和 实现 简单 的 VLSM 
网 络 和 汇总 。 

你 还 应 该 明白 思科 故障 排除 方法 。 思科 推荐 你 使 用 4 个 步骤 缩小 网 络 /IP 编 址 问题 的 存在 范围 , 你 
必须 记 住 这 些 步骤 ， 以 便 采用 系统 性 方法 修复 问题 。 另 外 ， 你 还 应 该 能 够 根据 网 络 示 意图 找 出 合法 的 
IP 地 址 和 子 网 掩 码 。 


5.5 ”考试 要 点 


描述 变 长 子 网 掩 码 “VLSM) 的 优点 。VLSM 让 你 能 够 创建 特定 规模 的 子 网 以 及 将 无 类 网 络 划分 
成 大 小 不 同 的 子 网 。 这 提高 了 地 址 空间 的 使 用 效率 ， 因 为 分 类 子 网 划分 经 常会 浪费 下 地址 。 

理解 子 网 掩 码 、 块 大 小 以 及 每 个 子 网 中 合法 IP 地 址 范围 之 间 的 关系 。 要 划分 的 分 类 网 络 以 及 使 
用 的 子 网 掩 码 一 起 决定 了 主机 数 〈 块 大 小 )， 还 决定 了 每 个 子 网 的 起 始 位 置 以 及 哪些 人 P 地 址 不 能 分 配 
给 子 网 中 的 主机 。 

描述 汇总 〈 路 由 聚合 ) 过 程 及 其 与 子 网 划分 的 关系 。 汇 总 指 的 是 将 分 类 网 络 中 的 子 网 合并 ， 以 便 将 
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一 条 路 由 〔 而 不 是 多 条 路 由 ) 通告 给 邻接 路 由 器 ， 从 而 缩小 路 由 选择 表 的 规模 ， 提 高 路 由 选择 的 速度 。 

计算 汇总 地 址 的 子 网 掩 码 。 用 于 通告 汇总 地 址 的 网 络 地 址 总 是 子 网 块 中 的 第 一 个 网 络 地 址 ， 而 子 
网 掩 码 是 这 样 的 ， 即 它 提供 的 块 大 小 与 要 汇总 的 子 网 数 相 同 。 

牢记 4 个 故障 排除 步骤 。 思 科 推 荐 的 4 个 简单 的 故障 排除 步骤 为 ping 环 回 地 址 、ping NIC、ping 
默认 网 关 以 及 ping 远程 设备 。 

找 出 并 修复 IP 编 址 问题 。 执 行 思科 推荐 的 4 个 故障 排除 步骤 后 ， 你 必然 能 够 绘制 出 网 络 示意 图 
并 找 出 网 络 中 合法 和 非法 的 主机 地 址 ， 从 而 确定 人 P 编 址 问题 。 

理解 可 在 主机 和 思科 路 由 器 上 使 用 的 故障 排除 工具 。 命 令 ping 127.0.0.1 检查 本 地 全 栈 ， 而 
tracert 是 一 个 Windows DOS 命令 ， 跟 踪 分 组 穿越 互联 网 络 前 往 目 的 地 时 经 过 的 路 径 。 思 科 路 由 器 
使 用 命令 traceroute (简写 为 trace )。 不 要 将 Windows 命令 和 思科 命令 混为一谈 。 虽然 它 们 生成 的 
输出 相同 ， 但 在 不 同 的 提示 符 下 执行 。 命 令 ipconfig /al11 在 DOS 提示 符 下 执行 ， 显 示 PC 的 网 络 
配置 ， 而 arp -a (也 在 DOS 提示 符 下 执行 ) 显示 Windows PC 中 的 下 地 址 到 MAC 地 址 映射 。 
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对 于 下 面 的 每 组 网 络 ， 确 定 用 于 将 它们 进行 汇总 的 汇总 地 址 和 子 网 掩 码 。 
(1) 192.168.1.0/24 一 192.168.12.0/24。 (2) 172.144.0.0~ 172.159.0.0。 


(3) 192.168.32.0 ~ 192.168.63.0。 (4) 192.168.96.0 ~ 192.168.111.0。 
(5) 66.66.0.0 ~ 66.66.15.0。 {6) 192.168.1.0~ 192.168.120.0。 
(7) 172.16.1.0~ 172.16.7.0。 (8)192.168.128.0 ~ 192.168.190.0。 
(9) $3.60.96.0 ~ 53.60.127.0。 (10) 172.16.10.0~ 172.16.63.0。 
(答案 见 本 章 复 习题 答案 的 后 面 。) 


5.7 复习 题 


下 面 的 复习 题 兽 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获 取 更 多 复习 题 的 
注意 ” 信息 ， 请 参阅 本 书 的 前 言 。 


(1) 在 VLSM 网 络 中 ， 为 减少 对 IP 地 址 的 浪费 ， 应 在 点 到 点 WAN 链 路 上 使 用 哪个 子 网 掩 码 ? 


A./27 B. /28 C./29 D. /30 E./31 
(2) 要 测试 本 地 主机 的 正 栈 ， 可 ping 哪个 下 地 址 ? 
A. 127.0.0.0 B. 1.0.0.127 C. 127.0.0.1 
D. 127.0.0.255 E. 255.255.255.255 
(3) 只 有 哪 种 连接 支持 使 用 子 网 掩 码 /30? 
A. 点 到 多 点 连接 B. 点 到 点 连接 
C. 多 点 到 多 点 连接 D. 主机 到 交换 机 连接 
(4) 要 使 用 VLSM， 使 用 的 路 由 选择 协议 必须 具备 哪 种 功能 ? 
A. 支 持 组 播 B. 支持 多 种 协议 


C. 传输 子 网 掩 码 信 息 D. 支持 非 等 价 负载 均衡 


142 第 S$ 章 ， 变 长 子 网 掩 码 (VLSM )、 汇 总 和 TCP/AP 故障 排除 


(5) 路 由 聚合 又 称 为 什么 ? 
A.VLSM B. 负载 均衡 
C. 子 网 划分 D. 汇总 
(6) 下 面 哪 项 是 路 由 育 合 的 结果 ? 
A. 路 由 选择 表 更 小 B. 路 由 选择 表 更 完整 
C. 占用 的 内 存 更 多 D. 占用 的 CPU 周期 更 多 
(7) 用 于 通告 汇总 地 址 的 网 络 地 址 通常 是 什么 ? 
A. 块 中 的 最 后 一 个 网 络 地 址 B. 块 中 倒数 第 二 个 网 络 地 址 
C. 块 中 的 第 二 个 网 络 地 址 D. 块 中 的 第 一 个 网 络 地 址 
(8) 如 果 ping 环 回 地 址 失败 ， 可 作出 哪 种 结论 ? 
“A. 本 地 主机 的 IP 地 址 不 正确 B. 远程 主机 的 IP 地 址 不 正确 
C. NIC 不 正常 D. IP 栈 未 成 功 初始 化 
(9) 如 果 ping 本 地 主机 的 IP 地 址 失败 ， 可 作出 哪 种 结论 ? 
A. 本 地 主机 的 让 地 址 不 正确 B. 远程 主机 的 人 P 地 址 不 正确 
C.NIC 不 正常 D. IP 栈 未 成 功 初始 化 
(10) 如 果 ping 本 地 主机 的 IP 地 址 成 功 ， 但 ping 默认 网 关 的 子 地 址 失败 ， 可 排除 下 面 哪些 情况 ? 
A. 本 地 主机 的 IP 地 址 不 正确 B. 网 关 的 PP 地址 不 正确 
C. NIC 不 正常 D. IP 栈 未 成 功 初始 化 
(11) 如 果 ping 远程 主机 成 功 ， 可 排除 下 面 哪些 问题 ? 
A. 本 地 主机 的 IP 地址 不 正确 B. 网 关 的 IP 地 址 不 正确 
C.NIC 不 正常 D. 了 P 栈 未 成 功 初始 化 


E. 上 述 问题 都 可 排除 


(12) 如 果 使 用 下 地 址 ping 某 台 计算 机 时 成 功 了 , 但 使 用 名 称 ping 它 时 失败 了 , 很 可 能 是 哪 种 网 络 服务 
有 问题 ? 


A. DNS B. DHCP C. ARP D. ICMP 
(13) 执行 ping 命令 时 ， 使 用 的 是 哪 种 协议 ? 

A. DNS B. DHCP C. ARP D. ICMP 
(14) 下 面 哪 个 命令 显示 在 前 往 目 的 地 的 路 径 上 经 过 的 路 由 器 ? 

A. ping B. traceroute C. pingroute D. pathroute 
(15) 下 面 哪个 命令 使 用 ICMP 回应 请 求 和 应 答 ? 

A. ping B.traceroute C. arp D. tracert 
(16) 下 面 哪个 命令 是 Cisco 命令 的 Windows 版 本 ， 并 显示 在 前 往 目 的 地 的 路 径 上 经 过 的 路 由 器 ? 

A, ping B.traceroute C. arp D. tracert 
(17) 在 Windows PC 上, 下面 哪 个 命令 显示 瑟 地 址 到 MAC 地 址 的 映射 ? 

A. ping B. traceroute C. arp -a D. tracert 
(18) 在 思科 路 由 器 上 ， 下 面 哪 个 命令 显示 ARP 表 ? 

A. show ip arp B. traceroute C. arp -a D. tracert 
(19) 要 在 PC 上 查看 DNS 配置 ， 必 须 给 命令 ipconfig 添加 哪个 开关 ? 

A. /dns B. -dns C./all D. -all 


(20) 汇总 网 络 192.168.128.0 一 192.168.159.0 时， 下面 鄂 项 是 最 佳 的 选择 ? 
A. 192.168.0.0/24 B. 192.168.128.0/16 C. 192.168.128.0/19 D. 192.168.128.0/20 
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5.8 复习 题 答案 


(1) D。 点 到 点 链 路 只 使 用 两 个 主机 地 址 ， 而 子 网 掩 码 /30 ( 255.255.255.252 ) 给 每 个 子 网 提供 了 两 个 主 
机 地 址 。 

(2) C。 要 测试 主机 的 本 地 栈 ， 可 ping 环 回 接口 127.0.0.1。 

(3) B。 唯 一 一 种 支持 子 网 掩 码 /30 的 连接 是 点 到 点 连接 。 

(4) C。 要 使 用 VLSM， 使 用 的 路 由 选择 协议 必须 能 够 传输 子 网 掩 码 信 息 。 

(5) D。 路 由 聚合 的 另 一 种 说 法 是 汇总 。 

(6) A。 路 由 聚合 导致 路 由 选择 表 的 规模 更 小 。 

(7) D。 用 于 通告 汇总 地 址 的 网 络 地 址 总 是 块 中 的 第 一 个 网 络 地 址 。 

(8) D。 如 果 ping 环 回 地 址 失败 ， 你 可 认为 下 栈 没 有 成 功 初始 化 。 

(9) C。 如 果 ping 本 地 主机 的 卫 地 址 失败 ， 你 可 认为 NIC 不 正常 。 

(10) C、D。 如 果 ping 本 地 主机 成 功 ， 你 可 排除 耳 栈 故障 和 NIC 故障 。 

(11) E。 如 果 ping 远程 主机 成 功 ， 说 明 本 地 一 切 正 常 。 

(12) A。 如 果 使 用 亿 地址 ping 某 台 计算 机 时 成 功 了 ， 但 使 用 名 称 ping 它 时 失败 了 ， 很 可 能 是 DNS 有 
问题 。 

(13) D。 执 行 ping 命令 时 ， 你 使 用 的 是 ICMP 协议。 

(14) B。 命 令 traceroute 显示 在 前 往 目 的 地 的 路 径 上 经 过 的 路 由 器 。 

(15) A。 命 令 ping 使 用 ICMP 回应 请 求 和 应 答 。 

(16) D。 命 令 tracert 是 显示 在 前 往 目的 地 的 路 径 上 经 过 的 路 由 器 的 思科 命令 的 Windows 版 。 

(17)C。 在 Windows PC 上, 命令 arp -a 显示 全 地 址 到 MAC 地 址 的 映射 。 

(18) A。 在 思科 路 由 器 上 ， 命令 show ip arp 显示 ARP 表 。 

(19) C。 要 在 PC 上 查看 DNS 配置 ， 我 们 必须 给 命令 ipconfig 添加 开关 /a11。 

(20) C。 如 果 从 192.168.128.0 数 到 192.168.159.0， 你 将 发 现 总 共 包含 32 个 网 络 。 由 于 汇总 地 址 总 是 
指定 范围 内 的 第 一 个 网 络 地 址 ， 汇 总 地 址 为 192.168.128.0。 哪 个 子 网 掩 码 在 第 三 个 字 节 提供 的 块 大 小 为 
32 呢 ? 

答案 是 255.255.224.0 (/19 ) 。 
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(1) 192.168.0.0/20 (2) 172.144.0.0 255.240.0.0 

(3) 192.168.32.0 255.255.224.0 (4) 192.168.96.0 255.255.240.0 
(5) 66.66.0.0 255.255.240.0 (6) 192.168.0.0/17 

(7) 172.16.0.0/21 (8) 192.168.128.0 255.255.192.0 


(9) 53.60.96.0 255.255.224.0 (10) 172.16.0.0 255.255.192.0 


第 0 章 
思科 互联 网 络 操作 系统 (IOS ) 


本 章 涵盖 如 下 CCNA 考试 要 点 。 

v 实现 IP 编 址 方案 和 IP 服务 ， 以 满足 中 型 企业 分 支 机 构 网 络 的 网 络 需求 

口 在 路 由 器 上 配置 和 验证 DHCP 和 DNS 以 及 排除 其 故障 ( 包括 CLLSDM )。 

口 配置 和 验证 思科 设备 的 基本 运行 方式 和 路 由 选择 以 及 排除 这 些 方面 的 故障 。 

口 描述 思科 路 由 器 的 工作 原理 ， 包 括 路 由 器 的 启动 过 程 、POST 和 路 由 器 组 件 。 

口 访问 路 由 器 并 设置 基本 参数 (包括 CLVSDM )。 

口 连接 和 配置 设备 接口 以 及 查看 其 运行 情况 。 

口 使 用 ping、traceroute、Telnet、SSH 或 其 他 实用 工具 验证 设备 的 配置 和 网 络 连 接 性 。 

口 使 用 ping、traceroute 以 及 Telnet 或 SSH 验证 网 络 连接 性 。 

口 排除 路 由 选择 故障 。 

口 使 用 show 命令 和 debug 命令 验证 路 由 器 硬件 和 软件 的 运行 情况 。 

现在 该 介绍 思科 IOS ( Internetwork Operating System， 互 联网 络 操作 系统 ) 了 。IOS 运行 在 思科 路 
由 器 和 思科 交换 机 上 ， 让 你 能 够 对 设备 进行 配置 。 

在 本 章 中 ， 你 将 学 习 IOS。 我 将 演示 如 何 使 用 思科 IOS 命令 行 界 面 (CLI) 配置 运行 思科 IOS 的 
路 由 器 。 熟 悉 该 界面 后 ， 你 将 能 够 使 用 思科 IOS 配置 主机 名 、 旗 标 (banner )、 密 码 等 ， 还 能 够 用 它 排 
除 故障 。 

本 章 内 容 还 将 帮助 你 快速 掌握 路 由 器 配置 和 验证 命令 的 重要 基本 知识 , 下 面 是 本 章 将 讨论 的 主题 : 

口 理解 并 配置 思科 IOS; 

口 连接 路 由 器 ; 

口 启动 路 由 器 ; 

口 登录 路 由 器 ; 

口 理解 路 由 器 提示 符 ; 

口 理解 CLI 提示 符 ; 

口 使 用 编辑 和 帮助 功能 ; 

口 收集 基本 的 路 由 选择 信息 ; 

口 设置 管理 功能 ; 

口 设置 主机 名 ; 

口 设置 旗 标 ; 

口 设置 密码 ; 

口 设置 接口 描述 ; 
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口 配置 接口 ; 

口 查看 、 保 存 和 删除 配置 ; 

口 验证 路 由 选择 配置 。 

与 前 几 章 一 样 ， 本 章 介绍 的 基本 知识 至 关 重 要 ， 阅 读本 书 的 后 续 内 容 前 必须 掌握 。 


DD DD DD A ADA AD 


有 关 本 章 内 容 的 最 新 修订 ,请 访问 www.lammle.com 或 www.sybex.com/go/ccna7e。 
注意 


”6.1 1OS 用 户 界面 


思科 IOS ( Internetwork Operating System， 互 联网 络 操作 系统 ) 是 思科 路 由 器 和 大 部 分 交换 机 的 内 
核 。 注 意 ， 内 核 是 操作 系统 不 可 或 缺 的 基本 部 分 ， 它 分 配 资源 ， 管 理 诸如 低级 硬件 接口 和 安全 等 方面 。 
接 下 来 的 几 节 将 介绍 思科 IOS 以 及 如 何 使 用 命令 行 界面 ( CLI) 配置 思科 路 由 器 。 je 


第 10 章 将 介绍 思科 交换 机 的 配置 。 
注意 


6.1.1 思科 路 由 器 IOS 


思科 IOS 是 一 个 专用 内 核 ， 提 供 路 由 选择 、 交 换 、 网 络 互联 和 远程 通信 功能 。 最 初 的 IOS 是 由 
William Yeager 于 1986 年 编写 的 ， 用 于 支持 网 络 应 用 程序 。 大 多 数 思 科 路 由 器 都 运行 IOS， 越 来 越 多 
的 思科 Catalyst 交换 机 也 运行 它 ， 其 中 包括 Catalyst 2960 和 Catalyst 3560 系列 交换 机 。 

下 面 是 思科 路 由 器 IOS 软件 负责 的 一 些 重要 方面 : 

口 运行 网 络 协 议 并 提供 功能 ; 

口 在 设备 之 间 高 速 传输 数据 ; 

口 控制 访问 和 禁止 未 经 授权 的 网 络 使 用 ， 从 而 提高 安全 性 ; 

口 提供 可 扩展 性 〈 以 方便 网 络 扩容 ) 和 宛 余 性 ; 

口 提供 连接 网 络 资源 的 可 靠 性 。 

我 们 可 通过 路 由 器 控制 台 端 口 、 通 过 调制 解 调 器 连接 辅助 ( Aux ) 端 口 或 通过 Telnet 访 问 思科 IOS。 
访问 IOS 命令 行 称 为 EXEC 会 话 。 


6.1.2 ”连接 思科 路 由 器 


我 们 可 以 连接 Cisco 路 由 器 以 对 其 进行 配置 并 验证 其 配置 和 查看 统计 数据 。 这 有 多 种 不 同 的 方式 ， 
但 通常 我 们 将 连接 控制 台 端口 。 控 制 台 端口 通常 是 一 个 RJ-45( 8 针 的 模块 化 ) 接头 , 位 于 路 由 器 背面 ， 
可 能 设置 了 密码 ， 也 可 能 没有 设置 。 新 式 ISR 路 由 器 默认 将 cisco 用 作用 户 名 和 密码 。 


有 关 如 何 配置 PC 以 连接 路 由 器 控制 台 端 口 的 内 容 ， 请 参阅 第 2 章 。 
注意 
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我 们 也 可 通过 辅助 端口 (auxiliary port ) 连接 思科 路 由 器 。 辅 助 端口 实际 上 与 控制 台 端 口 一 样 ， 
我 们 可 像 使 用 控制 台 端口 一 样 使 用 它 , 但 辅助 端口 还 让 你 能 够 配置 调制 解 调 嚣 命令， 以便 将 调制 解 调 
器 连接 到 路 由 器 。 这 是 一 项 很 好 的 功能 一 一 如 果 远 程 路 由 器 出 现 了 故障 ， 而 你 需要 对 其 进行 带 外 配置 
out-of-band， 在 网 络 外 进行 配置 )， 这 项 功能 让 你 能 够 通过 拨号 连接 其 辅助 端口 。 

连接 思科 路 由 器 的 第 三 种 方式 是 使 用 Telinet 程序 ， 这 是 一 种 带 内 方式 ， 即 通过 网 络 配置 路 由 器 ， 
与 带 外 方式 相反 。Telnet 是 一 种 终端 模拟 程序 ， 就 像 哑 终端 一 样 。 你 可 使 用 Telnet 连接 路 由 器 上 的 任 
何 活动 接口 ， 如 以 太 网 接口 和 串 行 端口 。 通 过 网 络 以 带 内 方式 连接 路 由 器 时 ， 使 用 本 章 后 面 将 讨论 的 
安全 外 壳 (SSH ) 是 一 种 更 安全 的 方式 。 

图 6-1 显示 了 一 台 思 科 2600 系列 模块 化 路 由 器 , 它 比 2500 系列 路 由 器 更 出 色 ,， 并 取代 了 2500 系 
列 路 由 器 ， 因 为 其 处 理 器 的 速度 更 快 ， 提 供 的 接口 更 多 。2500 和 2600 系列 路 由 器 都 已 EOL ( End Of 
Life， 停 产 ), 你 只 能 买 到 二 手 的 。 然 而 ， 在 生产 环境 中 ， 我们 仍 可 看 到 众多 2600 系列 路 由 器 的 身影 ， 
因此 你 必须 了 解 它 们 。 请 特别 注意 这 种 路 由 器 上 各 种 类 型 的 接口 和 连接 。 


Cisco 2610 路 由 器 
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图 6-1 Cisco 2600 路 由 器 


2600 系列 路 由 器 可 能 有 多 个 串 行 端口 ， 我 们 可 使 用 串 行 V.35 WAN 接头 将 这 些 端 口 连接 到 T1。 
根据 型 号 的 不 同 ， 路 由 器 上 可 能 有 多 个 以 太 网 端口 或 快速 以 太 网 端口 。 这 种 路 由 器 还 有 一 个 控制 台 端 
口 和 一 个 辅助 端口 ， 可 使 用 RJ-45 接头 来 连接 。 

这 里 要 介绍 的 另 一 种 路 由 器 是 2800 系列 ， 如 图 6-2 所 示 。 它 取代 了 2600 系列 路 由 器 ， 称 为 ISR 
( Integrated Services Router， 集 成 服务 路 由 器 ), 但 自 本 书 前 一 版 出 版 后 ， 它 也 被 升级 到 了 2900。ISR 
系列 路 由 器 因 其 内 置 了 众多 服务 ( 如 安全 ) 而 得 名 ， 与 2600 系列 一 样 ， 它 也 是 模块 化 的 ， 但 速度 快 
得 多 ， 也 完美 得 多 一 一 优雅 的 设计 使 其 支持 更 多 的 连接 方式 。 
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在 大 多 数 情况 下 ，2800/2900 系列 路 由 器 都 物 超 所 值 ， 除 非 你 要 添加 大 量 接口 。 你 需要 为 添加 的 
每 个 接口 付费 ， 而 这 些 费 用 会 很 快 累积 成 大 数目 ! 

另外 两 个 系列 的 路 由 器 比 2800 系列 便宜 ， 这 就 是 1800/1900 和 800/900 系列 。 如 果 你 要 寻找 便宜 
的 2800/2900 替代 品 ， 又 想 运 行 同样 的 IOS 版 本 ， 可 考虑 这 两 个 系列 的 路 由 器 。 

图 6-3 是 一 台 1841 路 由 器 ， 它 配置 了 2800 路 由 器 的 大 部 分 接口 ， 但 体积 更 小 ， 价 格 更 低廉 。 选 
择 2800/2900 而 不 是 1800/1900 系列 路 由 器 的 真正 原因 在 于 ， 前 者 支持 更 高 级 的 接口 ， 如 无 线 控制 器 
和 交换 模块 。 
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6-3 思科 1841 路 由 器 


需要 指出 的 是 ， 本 书 的 大 部 分 路 由 器 配置 示例 针对 的 大 都 是 2800、1800 和 800 系列 路 由 器 ,但 
在 学 习 路 由 选择 原理 时 ， 你 也 可 以 使 用 2600 甚至 更 老 的 2500 系列 路 由 器 。 


NEA ee 


有 关 所 有 思科 路 由 器 的 更 详细 信息 ， 请 参阅 www.cisco.com/en/US/products/hw/ 
注意 routers/index.html。 


6.1.3 ”启动 路 由 器 


启动 思科 路 由 器 时 ， 它 将 执行 加 电 自 检 (POST )。 通 过 加 电 自 检 后 ， 它 将 在 闪存 中 查找 思科 IOS， 
如 果 找 到 IOS 文件 ， 将 把 它 加 载 到 内 存 (RAM ) 中 。( 注意 ， 闪 存 是 电 可 擦 除 可 编程 只 读 存储 器 ， 即 
EEPROM )。IOS 加 载 后 , 它 将 寻找 有 效 配 置 (启动 配置 ), 这 种 配置 存储 在 非 易 失 RAM (NVRAM ) 中 。 

下 面 是 引导 或 重启 路 由 器 时 出 现 的 消息 ( 这 里 使 用 的 是 2811 路 由 器 ): 

System Bootstrap, Version 12.4(13r)T，RELEASE SOFTWARE (fc1) 

Technical Support: http://ww.cisco.com/techsupport 

Copyright (c) 2006 by cisco Systems, Inc. 

Initializing memory for ECC 

c2811 platform with 262144 Kbytes of main memory 

Main memory is configured to 64 bit mode with ECC enabled 

Upgrade ROMMON initialized 

program load complete, entry point: Ox8000f000, size: Oxcb80 

program load complete, entry point: Ox8000f000, size: Oxcb80 


这 是 路 由 器 引导 过 程 中 的 第 一 部 分 输出 ， 是 有 关 引 导 程 序 运行 POST 时 的 信息 。 接 下 来 ， 它 将 告 
诉 路 由 器 如 何 加 载 IOS (默认 在 闪存 中 查找 IOS, ) 并 且 还 将 指出 路 由 器 的 内 存 (RAM ) 量 。 
下 面 的 信息 指出 当前 正 将 IOS 解压 缩 到 RAM: 
program load complete, entry point: 0x8000f000，size: 0x14b45f8 
Self decompressing the image : 
间 # 井 ##### 并 # 提 ## 并 和 并 并 六 划 并 撕 埋 并 井 划 并 并 并 间 并 划 提 并 霸 并 # 间 提 井 # 拜 并 和 并 划 提 并 提 提 并 并 提 并 入 提 大 和 坟 撕 并 并 芽 入 提 间 并 并 提 扩 
间 ## 间 ### 扩 提 井 并 提 划 音 井 井 提 上 # 并 并 埋 间 间 莫 #### 提 并 # 划 提 并 并 并 间 六 提 提 间 并 并 并 # 划 并 [OK] 
# 字 号 表明 正在 将 IOS 解压 缩 到 RAM。 解 压缩 到 RAM 后 ，IOS 将 被 加 载 并 开始 运行 路 由 器 ， 如 
下 所 示 。 注 意 ， 这 里 显示 的 IOS 版 本 为 12.4( 12 ) 高 级 安全 版 。 
[some output cut] 
Cisco IOS Software, 2800 Software 〈C2800NM-ADVSECURITYK9-M) ，Version 
12.4(12), RELEASE SOFTWARE (fc1) 
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Technical Support: http://www.:cisco.com/techsupport 
Copyright (c) 1986-2006 by Cisco Systems, Inc. 
Compiled Fri 17-Nov-06 12:02 by prod. rel_team 
Image text-base: 0x40093160，data-base: 0x41AA0000 


新 型 ISR 路 由 器 一 个 新 特征 是 ， 显 示 的 IOS 名 称 不 再 神秘 。 文 件 名 实际 上 指出 了 IOS 的 功能 ， 如 
高 级 安全 ( Advanced Security )。IOS 加 载 后 ， 将 显示 从 POST 获悉 的 信息 ， 如 下 所 示 : 

[some output cut] 

Cisco 2811 (revision 49.46) with 249856K/12288K bytes of memory . 

Processor board ID FTX1049A1AB 

2 FastEthernet interfaces 

4 Serial(sync/async) interfaces 

1 Virtual Private Network (VPN) Module 

DRAM configuration is 64 bits wide with parity enabled. 

239K bytes of non-volatile configuration memory. 

62720K bytes of ATA CompactFlash (Read/Write) 


从 这 些 输出 可 知 , 这 里 有 两 个 快速 以 太 网 接口 、4 个 串 行 接口 和 一 个 VPN 模块 。 此 处 信息 还 显示 
了 内 存 (RAM ) 量 、NVRAM 量 和 闪存 量 , 并 表明 有 256 MB 内 存 ( RAM )、239 KB NVRAM 和 64 MB 
闪存 。 

IOS 加 载 并 正常 运行 后 ，NVRAM 中 的 预 配置 (也 叫 启 动 配置 ) 将 被 复制 到 内 存 (RAM ) 中 。 该 
文件 的 副本 将 被 复制 到 内 存 (RAM ) 中 ， 并 被 称 为 运行 配置 。 


DD DO 


DD 


我 的 1841 和 871W 路 由 器 的 引导 过 程 与 2811 路 由 器 完全 相同 。1841 和 871W 
注意 ”路 由 器 显示 的 内 存 更 少 ， 接 口 也 不 同 ， 但 除 此 之 外 ， 引 导 过 程 和 预先 配置 的 启动 配 
置 文件 完全 相同 。 


启动 非 ISR 路 由 器 (如 2600) 

正如 你 将 看 到 的 ， 非 ISR 路 由 器 的 引导 过 程 与 ISR 路 由 器 基本 相同 。 下 面 是 引导 或 重启 2600 路 
由 器 时 显示 的 消息 : 

System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) 

Copyright (c) 1999 by cisco Systems, Inc. 

TAC:Home: SW:IOS:Specials for info 

C2600 platform with 65536 Kbytes of main memory 

下 一 部 分 输出 表明 IOS 正 被 解压 缩 进 RAM: 

program load complete, entry point:0x80008000，size:0x43b7fc 

Self decompressing the image : 

基 基 拓 查 关 提 杖 大 树林 提 打 苦 拓 捍 磊 提 苯 提 硒 埋 碍 拓 状 扩 拓 并 拓 划 提 科大 提 拓 大 拓 捍 基 划 拓 拓 振 大 提 利 并 并 大 提 并 井 # 井 入 提 

打 基 拓 埋 枯 基 基 拓 基 基 并 拓 栖 井 拓 基 间 荐 并 大 基 并 大 并 并 振 井 井 兰 拓 井 ## 香 提 并 并 大 并 提 提 大 并 左 左 友 提 并 昔 ### 并 并 大 # 井 并 

菲 埋 # 基 拓 基 扒 划 振 基 ## 提 埋 基 大 大 划 基 井 基 拓 基 拓 基 大 捍 音 划 拓 振 基 大大 大 六 堪 ## 拓 ## 提 大 关 打桩 并 大 大 捍 埋 井 并 ### 并 并 

振 莫 拓 基 拓 提 拓 拓 枯 基 拓 苯 提 拓 枯 提 拓 苯 基 荐 提 苯 拓 蕉 拓 拓 埋 拓 并 并 间 并 着 基 间 大 大 拓 提 大大 大 提 音 提 提 提 拓 提 提 提 ## 提 提 ## 
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菲 基 拓 枯 苦 拓 荐 并 荐 划 枯 提 拓 并 大大 大 提 并 ##### 拓 大 并 提 划 并 提 大 提 基 并 基 并 并 ## 关 打 林 井 枯 枯 划 荐 并 式 间 并 #### 基 并 并 # 

基 枯 并 打 振 拓 拓 杖 提 拓 套间 ## 大 状 拓 栓 撩 拉 闫 提 埋 关 拓 类 攻关 拓 状 大 提 提 大 关 大 振 反 拓 并 产检 闪失 ## 划 大 拓 拉夫 拓 六 ## 直 划 ## 

杖 杖 关 枯 ## 基 基 拓 杖 坟 基 大 撕 大 并 着 提 拓 捍 霸 拓 大 提 苦 拓 提 并 拓 大 埋 厌 划 基 拓 昔 井 基 大 拓 大 提 枯 并 井 ## 并 提 基 大 井 井 打 并 井 林 并 井 扩 并 间 并 并 捍 井 并 ######### [OK] 

目前 为 止 ， 几 乎 完全 相同 。 注 意 ， 下 面 的 输出 表明 IOS 版 本 为 12.3 (20 )。 

Cisco Internetwork Operating System Software 

IOS (tm) C2600 Software (C2600-IK903S3-M), Version 12.3(20)，RELEASE 

SOFTWARE (fc2) 

Technical Support: http://www.cisco.com/techsupport 

Copyright (c) 1986-2006 by cisco Systems, Inc. 

Compiled Tue 08-Aug-06 20:50 by kesnyder 

Image text-base: Ox80008098, data-base: 0x81AOE7A8 

如 同 使 用 2800 系列 时 ， 一旦 加 载 了 IOS， 从 POST 获悉 的 信息 将 显示 如 下 : 

cisco 2610 (MPC860) processor (revision 0x202) with 61440K/4096K bytes 

of memory . 

Processor board ID JADO3348593 (1529298102) 

M860 processor: part number 0, mask 49 

Bridging software. 

X.25 software, Version 3.0.0. 

1 Ethernet/IEEE 802.3 interface(s) 

1 Serial network interface(s) 

2 Serial(sync/async) network interface(s) 

32K bytes of non-volatile configuration memory. 

16384K bytes of processor board System flash (Read/Write) 

上 述 输出 表明 有 一 个 以 太 网 接口 和 3 个 串 行 接口 , 并 显示 了 内 存 (RAM ) 量 和 闪存 量 ， 即 64 MB 
内 存 和 (RAM ) 16 MB 闪存 。 

正如 前 面 指出 的 ，IOS 加 载 并 正常 运行 后 ，NVRAM 中 的 一 种 有 效 配 置 ( 称 为 启动 配置 ) 将 被 加 
载 。 但 这 与 ISR 路 由 器 的 默认 引导 过 程 不 同 : 如 果 NVRAM 中 没有 配置 , 路 由 器 将 发 送 广播 , 向 TFTP 
主机 请 求 有 效 配置 。 这 要 求 路 由 器 在 接口 上 执行 载波 检测 ( CD )。 如 果 请 求 失败 ， 你 将 进入 设置 模 
式 个 循序 渐进 的 过 程 ， 用 于 配置 路 由 器 。 因 此 ， 你 必须 记 住 ， 如 果 将 路 由 器 连接 到 网 络 并 启动 
它 ， 路 由 器 可 能 用 几 分 钟 时 间 搜 索 配 置 。 

你 还 可 随时 从 命令 行进 入 设置 模式 ,为 此 可 在 特权 模式 下 输入 setup ， 特 权 模 式 将 稍 后 介绍 。 在 
设置 模式 下 我 们 只 可 执行 部 分 命令 ， 它 们 通常 用 处 不 大 ， 如 下 所 示 : 


Would you like to enter the initial configuration dialog? [yes/no]: y 


At any point you may enter a question mark '?' for help. 
Use ctrl-c to abort configuration dialog at any prompt. 
Default settings are in square brackets '[]'. 


Basic management setup configures only enough connectivity 
for management of the System，extended setup will ask you 
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to configure each interface on the system 


Would you like to enter basic management setup? [yes/no]: y 
Configuring global parameters: 


Enter host name [Router]: Ctr1+C 
Configuration aborted, no changes made. 


我 们 可 随时 按 Ctr1+C 退 出 设置 模式 。 


强烈 推荐 你 使 用 一 次 设置 模式 ， 以 后 就 不 要 再 使 用 了 。 你 总 是 应 该 使 用 CLI。 


6.2 ”命令 行 界 面 (CLI) 


我 有 时 将 CLI 称 为 Cash Line Interface, 因为 如 果 你 能 使 用 CLI 进行 复杂 的 思科 路 由 器 和 交换 机 配 
置 ， 就 能 得 到 钱 。 


6.2.1 进入 CLI 


接口 状态 消息 出 现 后 ， 如 果 按 回 车 键 ， 你 将 看 到 提示 符 Router>。 这 称 为 用 户 EXEC 模式 (用户 
模式 )， 主 要 用 于 查看 统计 信息 ， 也 是 进入 特权 模式 的 跳板 。 

只 有 在 特权 EXEC 模式 〈 特 权 模式 ) 下 ， 你 才能 查看 并 修改 Cisco 路 由 器 的 配置 。 要 进入 这 种 模 
式 , 请 执行 命令 enable， 如 下 所 示 : 

Router>enable 

Router# 

现在 提示 符 变 为 Router#， 它 表明 当前 处 于 特权 模式 。 在 这 种 模式 下 ， 你 可 查看 并 修改 路 由 器 的 
配置 。 要 从 特权 模式 返回 到 用 户 模式 ， 请 使 用 命令 dijsable， 如 下 所 示 : 

Router#disable 

Router> 

现在 ， 要 退出 控制 台 ， 请 执行 命令 logout: 


Router>logout 


Router con0 is now available 
Press RETURN to get started . 


接 下 来 的 几 节 将 演示 如 何 执行 一 些 基 本 的 管理 配置 。 


6.2.2 ”路 由 器 模式 概述 
在 CLI 中 , 我 们 可 对 路 由 器 做 全 局 修改 。 为 此 , 我 们 可 输入 configure terminal (或 其 简写 configt )， 
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此 时 将 进入 全 局 配置 模式 ， 以 修改 运行 配置 。 全 局 命令 (在 全 局 模式 下 执行 的 命令 ) 只 需 设置 一 次 ,它们 
影响 整 台 路 由 器 。 

在 特权 模式 提示 符 下 , 我 们 可 执行 命令 config, 然后 按 回 车 接受 默认 选项 terminal1, 如 下 所 示 : 

Router#config 

Configuring from terminal, memory, or network [terminall? [press enter] 

Enter configuration commands, one per line. End with CNTL/Z. 

Router(Cconfig)# 

在 这 种 模式 下 , 我 们 所 做 的 修改 将 影响 整 台 路 由 器 , 因此 称 为 全 局 配置 模式 。 要 修改 运行 配置 (在 
动态 RAM ( DRAM ) 中 运行 的 当前 配置 ), 你 可 使 用 命令 configure terminal， 前 面 演示 了 这 一 点 。 

下 面 是 命令 configure 的 其 他 一 些 选 项 ， 

Router(config)#exit or bress cnt1-z 

Router#config ? 


memory Configure from NV memory 
network Configure from a TFTP network host 
overwrite-network Overwrite NV memory from TFTP network host 
terminal Configure from the terminal 
<cr> 

这 些 命令 将 在 第 7 章 介 绍 。 


6.2.3 CLI 提示 符 


了 解 配置 路 由 器 时 可 能 见 到 的 各 种 提示 符 非 常 重要 ， 这 有 助 于 导航 并 识别 当前 所 处 的 配置 模式 。 
接 下 来 的 几 节 将 展示 思科 路 由 器 使 用 的 提示 符 ， 并 讨论 使 用 的 各 种 术语 。( 对 路 由 器 配置 做 任何 修改 
前 ， 请 务必 查看 提示 符 ! ) 

这 里 不 会 探究 每 个 命令 提示 符 ( 因为 这 超出 了 本 书 的 讲述 范围 )， 而 只 描述 你 将 在 本 书 中 看 到 的 
各 种 提示 符 。 这 些 命令 提示 符 是 日 常 工作 中 用 得 最 多 的 ， 也 是 通过 考试 必须 知道 的 。 


如 果 现 在 不 知道 所 有 这 些 命令 提示 符 的 作用 ， 也 不 要 害怕 ， 后 面 很 快 就 将 全 面 
注意 ” 介绍 它们 。 就 目前 而 言 ， 你 只 需 放松 心情 ， 熟 悉 各 种 提示 符 ， 这 样 就 万 事 大 吉 了 1! 


1. 接口 
要 修改 接口 的 配置 ， 我 们 可 在 全 局 配置 模式 下 执行 命令 interface: 


Router(Cconfig)#interface ? 


Async Async interface 

BVI Bridge-Group Virtual Interface 
CDMA-Ix CDMA Ix interface 

CTunnel CTunnel interface 

Dialer Dialer interface 

FastEthernet FastEthernet IEEE 802.3 


Group-Async Async Group interface 
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Lex Lex interface 

Loopback Loopback interface 

MFR Multilink Frame Relay bundle interface 
Multilink Multilink-group interface 

Null Null interface 

Port-channel Ethernet Channel of interfaces 

Serial Serial 

Tunnel Tunnel interface 

Vif PGM Multicast Host interface 
Virtual-PPP Virtual PPP interface 


Virtual-Template Virtual Template interface 
Virtual-TokenRing Virtual TokenRing 
range interface range command 
Router(config)#interface fastEthernet 0/0 
Router(Cconfig-if)# 
提示 符 变 成 了 Router(config-if)#， 你 注意 到 了 吗 ? 这 表明 当前 处 于 接口 配置 模式 。 如 果 提 
示 符 也 指出 当前 配置 的 是 哪个 接口 ， 那 该 多 好 ! 然而 至 少 就 目前 而 言 ， 我 们 必须 在 没有 这 种 提示 信 
息 的 情况 下 工作 ， 因 为 提示 符 没 有 提供 这 种 信息 。 有 一 点 是 肯定 的 ， 那 就 是 配置 路 由 器 时 你 必须 集 
中 注意 力 ! | 
2. 子 接口 
子 接口 允许 你 在 路 由 器 中 创建 逻辑 接口 ， 进 入 子 接口 配置 模式 后 ， 提 示 符 将 变 成 Router 
(config-subif)#: 
Router(Cconfig-if)#interface f0/0.1 
RouterCconfig-subif)# 


at Ne re 


有 关子 接口 的 详细 信息 ， 请 参 


阅 第 11 章 和 第 16 章 ， 但 现在 不 要 这 样 做 。 


ON 


3. 1ine 命令 
要 配置 用 户 模式 密码 , 请 使 用 命令 1ine。 执行 该 命令 后 , 提示 符 将 变 成 Router (config-1ine)#: 
Router#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
RouterCconfig)#1ine ? 
<0-337> First Line number 


aux Auxiliary line 
console Primary terminal line 
tty Terminal controller 
vty Virtual terminal 


命令 1ine console 0 称 为 主 命令 (也 叫 全 局 命令 )， 而 在 提示 符 Router Cconfig-1ine)# 下 执 
行 的 命令 都 称 为 子 命令 。 
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4. 配置 路 由 选择 协议 

要 配置 路 由 选择 协议 (如 RIP 和 EIGRP )， 我 们 需要 让 提示 符 变 成 Router(config-router)#: 
Router#config t 

Enter configuration commands, one per line. End with CNTL/Z. 

RouterCconfig)#router rip 

Router(Cconfig-router)#version 2 

Router(config-router)# 

5. 定义 路 由 器 术语 

表 6-1 定义 了 前 面 使 用 的 一 些 术 语 。 


表 6-1 路 由 器 术语 


模 式 定 义 
用 户 EXEC 模 式 只 能 执行 基本 的 监视 命令 
特权 EXEC 模 式 证 你 能 够 访问 其 他 所 有 的 路 由 器 命令 
全 局 配置 模式 可 执行 影响 整个 系统 的 命令 
具体 的 配置 模式 可 执行 只 影响 接口 /进程 的 命令 
设置 模式 交互 式 配 置 对 话 


6.2.4 ”编辑 和 帮助 功能 


我 们 可 使 用 思科 高 级 编辑 功能 来 帮助 配置 路 由 器 。 无 论 在 哪 种 提示 符 下 ， 如 果 你 输入 问号 (? )， 
都 将 看 到 在 该 提示 符 下 可 执行 的 命令 列表 : 
Router#? 
Exec commands: 
access-enable Create a temporary Access-List entry 
access-profile Apply user-profile to interface 
access-template Create a temporary Access-List entry 


archive manage archive files 

auto Exec level Automation 

bfe For manual emergency modes setting 
calendar Manage the hardware calendar 
cd Change current directory 
clear Reset functions 

clock Manage the system clock 

cns CNS agents 

configure Enter configuration mode 
connect Open a terminal connection 
copy Copy from one file to another 
crypto Encryption related commands. 


ct-isdn Run an ISDN component test command 
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debug Debugging functions (see also 'undebug ' ) 
delete Delete a file 

dir List files on a filesystem 

disable Turn off privileged commands 

disconnect Disconnect an existing network connection 
--More-- 


另外 ， 此 时 我 们 可 按 空格 显示 下 一 页 信息 ， 也 可 按 回 车 键 每 次 显示 一 个 命令 。 另 外 ,我们 还 可 按 
Q (或 其 他 任何 键 ) 返回 到 提示 符 。 
下 面 是 一 种 快捷 方式 : 要 查看 以 某 个 字母 打头 的 命令 ， 可 输入 该 字母 和 问号 且 不 要 在 它们 之 间 留 


空格 : 
Router#c? 
calendar cd clear clock 
cns configure connect copy 


crypto ct-isdn 


Router#c 
通过 输入 c? ,我们 看 到 了 所 有 以 字母 c 打 头 的 命令 。 另 外 ,注意 在 显示 命令 列表 后 ， 再 次 出 现 了 
提示 符 Router#c， 这 在 命令 很 长 ， 且 你 想 知 道 其 下 一 部 分 时 很 有 用 。 如 果 每 次 使 用 问号 时 ， 都 需 重 
新 输入 整个 命令 ， 那 就 太 糟 糕 了 ! 
要 获悉 命令 的 下 一 部 分 ， 可 输入 命令 的 第 一 部 分 和 问号 : 
Router#clock ? 
read-calendar Read the hardware calendar into the clock 
set Set the time and date 
update-calendar Update the hardware calendar from the clock 
Router#clock set ? 
hh:mm:ss Current Time 
Router#clock set 11:15:11 ? 
<1-31> Day of the month 
MONTH Month of the year 
Router#clock set 11:15:11 25 april ? 
<1993-2035> Year 
Router#clock set 11:15:11 25 april 2011 ? 
<cr> 
Router#clock set 11:15:11 25 apri1 2011 
*April 25 11:15:11.000: %SYS-6-CLOCKUPDATE: System clock has .been 
updated from 18:52:53 UTC Wed Feb 28 2011 to 11:15:11 UTC Sat April 25 2011, 
configured from console by cisco on console. 
通过 输入 clock ? ,我们 可 看 到 该 命令 下 一 个 可 能 的 参数 以 及 这 些 参数 的 用 途 。 注 意 ， 我 们 可 不 
断 输 入 命令 ， 直 到 输入 空格 和 问号 后 ， 你 唯一 的 选择 就 是 按 回 车 。 
如 果 输 入 命令 时 出 现 如 下 消息 : 
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Router#clock set 11:15:11 

% Incomplete command. 
你 便 应 意识 到 命令 不 完整 。 此 时 只 需 按 上 箭头 键 重新 显示 前 一 次 输入 的 命令 ， 然 后 使 用 问号 了 解 完整 
的 命令 是 什么 样 的 。 

如 果 出 现 如 下 错误 消息 : 


Router(config)#access-1ist 1]10 perait host 1.1.1.1 


人 


% Invalid input detected at '^' marker. 
则 说 明 输 入 的 命令 不 正确 。 看 到 那个 小 脱 字符 〈^) 了 吗 ? 这 是 一 个 很 有 用 的 工具 ， 准 确 地 指出 了 命 
令 中 不 对 的 地 方 。 下 面 是 另 一 个 显示 脱 字 符 的 例子 ; 
Router#sh serial 0/0/0 
% Invalid input detected at '^' marker. 
这 个 命令 看 似 正确 ， 但 请 务必 小 心 !1 完整 的 命令 为 show interface serial 0/0/0。 6 
如 果 出 现下 面 的 错误 消息 : 
Router#sh ru 
% Ambiguous command: “sh ru" 
则 表明 有 多 个 命令 以 你 输入 的 内 容 打 头 ， 因 此 其 含义 不 明确 。 要 获悉 你 需要 的 命令 ， 请 使 用 问号 : 
Router#sh ru? 
rudpv1 running-config 
正如 你 看 到 的 ， 其 中 有 两 个 命令 以 show ru 打头 。 
表 6-2 列 出 了 思科 路 由 器 上 可 用 的 高 级 编辑 命令 。 


表 6-2 ”高 级 编辑 命令 


命令 含义 
Ctrl+ A 将 光标 移 到 行 首 
Ctrl+E 将 光标 移 到 行 尾 
Esc+B 将 光标 左 移 一 个 字 
Cul+B 将 光标 左 移 一 个 字符 
Ctrl +F 将 光标 右 移 一 个 字符 
Esc+F | 将 光标 右 移 一 个 字 
Ctl+D 删除 一 个 字符 
Backspace 删除 一 个 字符 
Ctrl+R 重新 显示 一 行 
Ctrl+U 删除 一 行 

Curl+W | 删除 一 个 字 

Chl+Z 退出 配置 模式 ， 返 回 到 EXEC 模 式 


Tab 帮 你 完成 命令 的 输入 
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我 要 介绍 的 另 一 项 优秀 的 编辑 功能 是 ， 在 命令 行 太 长 的 情况 下 自动 向 左 滚动 。 在 下 面 的 示例 中 ， 
我 们 输入 的 命令 到 达 了 右边 界 ， 因 此 自动 向 左 移动 了 11 个 字符 的 位 置 (美元 符号 $ 表 示 向 左 移动 了 ): 

Router#config t 

Enter configuration commands, one per line. End with CNTL/Z. 

Router(Cconfig)#$110 permit host 171.10.10.10 0.0.0.0 eq 23 


使 用 表 6-3 所 示 的 命令 ,我 们 可 查看 路 由 器 命令 历史 记录 。 
表 6-3 ”查看 路 由 器 命令 历史 记录 


命 令 含义 
Ctrl + P 或 上 箭头 显示 最 后 一 次 输入 的 命令 
Ctrl + N 或 下 箭头 显示 以 前 输入 的 命令 
show history 默认 显示 最 近 输 入 的 20 个 命令 
show terminal 显示 终端 配置 和 历史 记录 缓冲 区 的 大 小 
terminal history size 修改 缓冲 区 的 大 小 (最 大 为 256 ) 


下 面 的 示例 演示 了 命令 show history 以 及 如 何 修改 历史 记录 缓冲 区 的 大 小 ， 并 使 用 命令 show 
terminal 验证 了 修改 效果 。 首 先 ， 我 们 使 用 命令 show history 查看 在 路 由 器 中 输入 的 最 后 20 个 命 
令 , 但 在 这 里 的 输出 只 显示 了 10 个 命令 : 

Router#show history 

en 

sh history 
show terminal 
sh cdp neig 
sh ver 

sh flash 

sh int fa0 
sh history 
sh int s0/0 
sh int sO0/1 


现在 使 用 命令 show terminal 验证 历史 记录 缓冲 区 的 大 小 : 
Router#show terminal 

Line 0, Location: "", Type: "" 

[output cut] 

Modem type is unknown. 

Session limit is not set. 

Time since activation: 00:21:41 

Editing is enabled. 

History is enabled, history size is 20. 
DNS resolution in show commands is enabled 
Full user help is disabled 
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Allowed input transports are none. 

Allowed output transports are pad telnet rlogin Tapb-ta mop v120 ssh. 
Preferred transport is telnet. 

No output characters are padded 

No special data dispatching characters 


接 下 来 ， 在 特权 模式 下 使 用 命令 terminal history size 修改 历史 记录 缓冲 区 的 大 小 : 
Router#terminal history size ? 

<0-256> Size of history buffer 

Router#terminal history size 25 


最 后 ， 我 们 使 用 命令 show terminal 验证 修改 效果 : 

Router#show terminal 

Line 0, Location: "", Type: "" 

[output cut] 

Editing is enabled, 

History is enabled, history size is 25. 

Full user help is disabled 

Allowed transports are lat pad v120 telnet mop rlogin 
nasi, Preferred is lat. 

No output characters are padded 

No special data dispatching characters 

Group codes: 0 


什么 时 候 使 用 Cisco 编辑 功能 ? 


有 几 项 编辑 功能 的 使 用 频率 非常 高 ， 而 有 些 编辑 功能 的 使 用 频率 不 那么 高 ， 甚 至 根本 不 会 被 
用 到 。 这 些 命令 并 非 思 科 凭 空 捏造 的 ， 而 是 来 自 Unix。 然 而 ， 要 撤销 命令 时 ，CtrL+A 很 有 用 。 
例如 ， 如 果 你 刚 配置 了 一 个 很 长 的 命令 ， 随 后 又 不 想 在 配置 中 使 用 它 ， 或 者 它 不 可 用 ， 则 可 


以 按 上 箭头 键 重新 显示 该 命令 , 再 按 CtrlL+A, 输入 no 和 空格 并 按 回 车 键 , 这 样 该 命令 就 撤销 了 。 
这 种 方法 并 非 适 用 于 每 个 命令 ， 但 适用 于 很 多 命令 。 


6.2.5 ”收集 基本 的 路 由 选择 信息 
命令 show version 显示 系统 硬件 的 基本 配置 以 及 软件 版 本 和 启动 映像 ， 如 下 例 所 示 : 


Router#show version 

Cisco IOS Software, 2800 Software (C2800NM-ADVSECURITYK9-M),Version 
12.4(12), RELEASE SOFTWARE (fc1) 

Technical Support: http://www.cisco.com/techsupport 

Copyright (c) 1986-2006 by Cisco Systems, Inc. 

Compiled Fri 17-Nov-06 12:02 by prod_rel_team 
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上 述 输出 描述 了 路 由 器 运行 的 思科 IOS。 下 面 的 输出 描述 了 使 用 的 ROM ( Read-Only Memory， 
只 读 存储 器 )，ROM 用 于 启动 路 由 器 和 存储 POST: 


ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) 


接 下 来 的 输出 指出 了 路 由 器 运行 了 多 长 时 间 、 路 由 器 是 如 何 重启 的 ( 如 果 你 看 到 错误 system 
restarted by bus, 将 是 一 件 非 常 糟糕 的 事情 )、 思 科 IOS 是 从 那里 被 加 载 的 ( 默认 为 闪存 ) 以 及 IOS 
的 名 称 : 

Router uptime is 2 hours, 30 minutes 

System returned to ROM by power-on 

System restarted at 09:04:07 UTC Sat Aug 25 2007 

System image file is "flash:c2800nm-advsecurityk9-mz.124-12.bin" 


接 下 来 的 输出 描述 了 处 理 器 、DRAM 量 和 内 存量 以 及 POST 在 路 由 器 上 找到 的 接口 : 
[some output cut] 

Cisco 2811 (revision 53.50) with 249856K/12288K bytes of memory . 
Processor board ID FTX1049A1AB 

2 FastEthernet interfaces 

4 Serial(sync/async) interfaces 

1 Virtual Private Network (VPN) Module 

DRAM configuration is 64 bits wide with parity enabled. 

239K bytes of non-volatile configuration memory . 

62720K bytes of ATA CompactFlash (Read/Write) 

Configuration register is 0x2102 


最 后 一 项 是 配置 寄存 器 值 ， 这 将 在 第 7 章 介绍 。 


另外 ， 验 证 路 由 器 配置 以 及 排除 路 由 器 和 网 络 故障 时 ， 命 令 show interfaces 和 show ip 
interface brief 很 有 用 。 这 些 命令 将 在 本 章 后 面 介 绍 ， 请 一 定 掌握 相关 内 容 ! 


6.3 ”路 由 器 和 交换 机 的 管理 配置 


虽然 对 于 让 路 由 器 或 交换 机 在 网 络 中 正常 运行 来 说 ， 本 节 的 内 容 并 非 生死 侯 关 ， 但 确实 很 重要 。 
本 节 将 介绍 可 帮助 管理 网 络 的 配置 命令 。 

在 路 由 器 和 交换 机 上 ， 可 配置 的 管理 功能 如 下 : 

口 主机 名 ，; 

口 旗 标 ; 

口 密码 ; 

口 接口 描述 。 

别 访 了， 这 些 配置 都 不 能 让 路 由 器 和 交换 机 表现 得 更 好 或 运行 得 更 快 ， 但 请 相信 我 ， 只 要 花 时 间 
在 每 台 网 络 设备 上 设置 这 些 配 置 ， 你 的 工作 将 更 轻松 。 因 为 如 果 这 样 做 ， 排 除 网 络 故障 和 维护 网 络 的 
工作 将 容易 很 多 。 本 节 将 在 思科 路 由 器 上 演示 这 些 命令 ， 但 这 些 命令 也 完全 适用 于 思科 交换 机 。 
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6.3.1 主机 名 


要 设置 路 由 器 的 身份 ， 我 们 可 使 用 命令 hostname。 这 只 对 本 地 有 影响 ， 即 不 会 影响 路 由 器 如 何 
执行 名 称 查找 ， 也 不 会 影响 路 由 器 在 互联 网 络 中 的 运行 方式 。 然 而 ， 在 第 16 章 讨 论 WAN 协议 PPP 
时 ， 我 将 把 主机 名 用 于 身份 验证 。 

下 面 是 一 个 例子 : 

Router#config 七 


Enter configuration commands, one per line. End with 
CNTL/Z. 

Router(Cconfig)#hostname Todd 

Todd(config)#hostname Atlanta 

Atlanta(config)#hostname Todd 

Todd(Cconfig)# 


虽然 根据 你 的 姓名 配置 主机 名 很 有 诱惑 力 ， 但 根据 路 由 器 的 位 置 来 给 它 命名 绝对 是 个 更 好 的 主 


意 。 这 是 因为 根据 设备 实际 所 处 的 位 置 指定 主机 名 时 ， 查 找 它 将 容易 得 多 。 另 外 ， 这 也 有 助 于 核实 你 
当前 是 在 正确 的 设备 上 进行 配置 。 本 章 ， 我 将 暂时 保留 主机 名 Todd， 因 为 这 很 有 趣 。 


6.3.2 ” 旗 标 


配置 旗 标 不 仅仅 是 为 了 要 酷 ; 配置 旗 标 的 一 个 充分 理由 是 ， 可 以 给 任何 试图 通过 远程 登录 或 拨号 
连接 你 的 互联 网 络 的 人 发 出 安全 警告 。 您 可 以 创建 一 个 旗 标 ， 向 任何 登录 到 路 由 器 的 人 显示 你 想 告诉 
他 的 信息 。 

有 4 种 类 型 的 旗 标 :EXEC 进程 创建 旗 标 ( exec process creation banner ) 人 站 终端 线路 旗 标 incoming 


terminal line banner )、 登 录 旗 标 和 每 日 消息 旗 标 ， 请 务必 熟悉 它们 。 下 面 的 代码 说 明了 所 有 这 些 旗 标 : 
Todd(config)#banner ? 


LINE Cc _ banner-text c, where 'c' is a delimiting character 
exec Set EXEC process creation banner 

incoming Set incoming terminal ]ine banner 

login Set login banner 

motd Set Message of the Day banner 

prompt-timeout Set Message for login authentication timeout 
slip-ppp Set Message for SLIP/PPP 


MOTD ( Message Of The Day， 每 日 消息 ) 是 最 常用 的 旗 标 。 它 向 任何 拨号 或 通过 Telnet、 辅 助 端 
口 甚 至 控制 台 端口 连接 路 由 器 的 人 显示 一 条 消息 ， 如 下 所 示 : 

Todd(config)#banner motd ? 

LINE ¢ banner-text c, where 'c' is a delimiting character 

Todd(config)#banner motd # 

Enter TEXT message. End with the character '#'. 


$ Acme.com network, then you must disconnect immediately. 
大 
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ToddCconfig)#^Z 
Todd# 


00:25:12: %SYS-5-CONFIG I: Configured from console by 
console | 
Todd#exit 


Router con0 is now available 
Press RETURN to get started . 


If you are not _ authorized to be in Acme.com network，then you 
must disconnect immediately. 
Todd# 
上 述 MOTD 旗 标 告诉 连接 路 由 器 的 人 ， 如 果 他 是 不 请 自 来 的 ， 就 请 离开 。 其 中 需要 说 明 的 是 分 
隔 字 符 ， 它 用 于 告诉 路 由 器 消息 到 什么 地 方 结束 。 我 们 可 使 用 任何 分 隔 字符 ， 但 很 明显 在 消息 中 不 能 
使 用 该 字符 。 另 外 ， 输 入 完整 的 消息 后 按 回 车 ， 然 后 输入 分 隔 字符 并 按 回 车 。 不 这 样 做 也 可 以 ， 但 如 
果 有 多 个 旗 标 ， 它 们 将 合并 成 一 条 消息 ， 并 占据 一 行 。 
例如 ， 你 可 在 一 行 中 设置 旗 标 ， 如 下 所 示 : 
Todd(config)#banner motd x Unauthorized access prohibited! x 
这 完全 可 行 ， 但 如 果 再 添加 一 条 MOTD 旗 标 消息 ， 它 们 将 合并 到 一 行 中 。 
下 面 介 绍 前 面 提 到 的 其 他 旗 标 。 
口 EXEC 旗 标 可 配置 线路 激活 ( EXEC ) 旗 标 ， 这 种 旗 标 在 创建 EXEC 进程 ( 如 线路 激活 或 有 
到 来 的 VTY 线路 连接 ) 时 显示 。 通 过 控制 台 端 口 建立 用 户 EXEC 会 话 时 ， 我 们 将 激活 EXEC 
旗 标 。 
口 入 站 旗 标 ”可 配置 一 个 这 样 的 旗 标 ， 即 在 连接 到 反 向 Telnet 线路 的 终端 上 显示 。 这 种 旗 标 可 
用 于 给 使 用 反 向 Telnet 的 用 户 提 供 操作 说 明 。 
口 登录 旗 标 ”可 配置 在 所 有 连接 的 终端 上 显示 的 登录 旗 标 。 这 种 旗 标 在 MOTD 旗 标 之 后 显示 ， 
并 在 登录 提示 出 现 前 显示 。 我 们 不 能 基于 线路 禁用 登录 旗 标 ， 而 必须 全 局 禁用 它 ， 为 此 必须 
使 用 命令 no banner 1ogin 将 其 删除 。 
下 面 是 一 个 登录 旗 标 的 例子 : 
banner login ^C 


Cisco Router and Security Device Manager (SDM) is installed on this device. 
This feature requires the one-time use of the username "cisco" 

with the password "cisco'". The defau]lt username and password 

have a privilege level of 15. 

Piease change these publicly known initial credentials using 

SDM or the IOS CLI. 
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Here are the Cisco IOS commands . 

username <myuser> privilege 15 secret 0 <mypassword> 

no username cisco 

Replace <myuser> and <mypassword> with the username and 

password you want to use. 

For more information about SDM please follow the instructions 

in the QUICK START GUIDE for your router or go to http://www.cisco.com/go/sdm 


任何 曾 登录 过 ISR 路 由 器 的 人 ,都 相当 熟悉 上 述 登 录 旗 标 ,这 是 思科 在 其 ISR 路 由 器 上 默认 配置 
的 旗 标 。 


登录 旗 标 在 登录 提示 出 现 前 显示 ， 并 在 MOTD 旗 标 后 显示 。 


6.3.3 ”设置 密码 


用 于 确保 思科 路 由 器 安全 的 密码 有 5 种 : 控制 台 密 码 、 辅 助 端口 密码 、 远 程 登录 ( VTY ) 密码 、 
启用 密码 ( enable ) 和 启用 加 密 密 码 (enable secret )。 启用 密码 和 启用 加 密 密 码 控制 用 户 进 入 特权 模式 ， 
在 用 户 执行 enable 命令 时 要 求 他 提供 密码 。 其 他 3 种 密码 用 于 控制 用 户 通 过 控制 台 端 口 、 辅 助 端 口 
和 Telnet 进入 用 户 模式 。 

下 面 详细 介绍 每 一 种 密码 。 

1. 启用 密码 

在 全 局 配置 模式 下 设置 启用 密码 ， 如 下 所 示 : 

Todd(config)#enable ? 

last-resort Define enable action if no TACACS servers 


respond 
password Assign the privileged level password 
secret Assign the privileged level secret 


Use-tacacs Use TACACS to check enable passwords 
命令 enable 的 参数 如 下 。 
口 last-resort 在 使 用 TACACS 服务 器 进行 身份 验证 ， 但 该 服务 器 不 可 用 时 ， 让 你 仍 能 进入 
路 由 器 ; 如 果 TACACS 服务 器 可 用 ， 则 这 种 密码 将 不 管用 。 


口 password 在 10.3 之 前 的 老 系统 上 设置 启用 密码 ， 如 果 设 置 了 启用 加 密 密 码 ， 该 密码 将 不 管 
用 5 


D secret 较 新 的 加 密 密 码 ， 如 果 设 置 了 ， 将 优先 于 启用 密码 。 
口 use-tacacs 让 路 由 器 使 用 TACACS 服务 器 进行 身份 验证 。 如 果 有 数 十 台 甚 至 更 多 的 路 由 


龙 ， 这 将 很 方便 ， 毕 竟 谁 会 希望 在 所 有 这 些 路 由 器 上 修改 密码 ?而 使 用 TACACS 服务 器 时 ， 
你 只 需 修改 一 次 密码 。 
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下 面 是 一 个 设置 启用 密码 的 例子 : 

Todd(config)#enable secret todd 

Todd(config)#enable password todd 

The enable password you have chosen is the same as your 
enable secret. This is not recommended. Re-enter the 
enable password. 


如 果 你 将 启用 加 密 密 码 和 启用 密码 设置 成 相同 的 ， 路 由 器 将 提醒 你 修改 第 二 个 密码 。 如 果 你 未 使 
用 老式 路 由 器 ， 根 本 就 不 需要 使 用 启用 密码 。 
进入 用 户 模式 的 密码 是 使 用 命令 1ine 设置 的 : 
ToddCconfig)#1ine ? 
<0-337> First Line number 
aux Auxiliary line 
console Primary terminal line 
tty Terminal controller 
vty Virtual terminal 
下 面 是 CCNA 考试 涉及 的 参数 。 
口 aux 设置 辅助 端口 的 用 户 模 式 密码 。 辅 助 端口 通常 用 于 将 调制 解 调 器 连接 到 路 由 器 ,但 也 可 
用 作 控 制 台 端口 。 
口 console 设置 控制 台 端 口 的 用 户 模式 密码 。 
口 vty 设置 通过 Telnet 进入 用 户 模式 的 密码 。 如 果 没 有 设置 这 种 密码 ， 默 认 将 不 能 通过 Telnet 
连接 到 路 由 器 。 
要 配置 用 户 模式 密码 ， 可 配置 相应 的 线路 ， 并 使 用 命令 1ogin 让 路 由 器 进行 身份 验证 。 接 下 来 的 
几 节 将 逐 行 演示 每 条 线路 的 配置 。 
2. 辅助 端口 密码 
要 配置 辅助 端口 密码 ， 请 进入 全 局 配置 模式 并 输入 1ine aux ?。 从 下 面 的 输出 可 知 ， 你 只 有 一 
种 选择 ， 那 就 是 0， 这 是 因为 只 有 一 个 辅助 端口 : 
Todd#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
Todd(config)#line aux ? 
<0-0> First Line number 
Todd(config)#line aux 0 
ToddCconfig-1ine)#]ogin 
% Login disabled on line 1, until 'password' is set 
Todd(config-1ine)#password aux 
Todd(config-line)#login 


请 别 忘 了 执行 命令 1ogin， 否 则 辅助 端口 将 不 进行 身份 验证 。 
给 线路 设置 密码 前 ,思科 不 允许 执行 命令 1ogin， 因 为 如 果 执 行 命令 1ogin 后 没有 设置 密码 ,该 


线路 将 不 可 用 一 一 它 将 提示 用 户 输 入 根本 不 存在 的 密码 。 因 此 ， 这 是 一 件 好 事 ， 给 你 带 来 的 是 帮助 ， 
而 不 是 麻烦 。 
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虽然 思科 在 较 新 的 IOS 版 本 (12.2 和 更 高 ) 中 提供 了 这 种 “确保 设置 密码 ”的 
注意 功能， 但 并 非 所 有 IOS 都 有 这 种 功能 。 请 务必 牢记 这 一 点 。 


3. 控制 台 端 口 密码 

要 设置 控制 台 端 口 密码 ， 我 们 可 使 用 命令 1ine console 0。 如 果 试 图 在 提示 符 (config-1ine)# 
下 输入 命令 1ine console ?， 结果 将 如 何 呢 ? 将 出 现 一 条 错误 消息 。 在 该 提示 符 下 ， 我 们 可 输入 命 
令 1ine console 0， 且 该 命令 也 会 被 系统 接受 ， 但 在 该 提示 符 下 帮助 屏幕 不 管用 。 输 入 exit 后 退 
一 级 ， 我 们 将 发 现 帮助 屏幕 管用 了 。 这 也 是 一 种 特色 。 

下 面 是 一 个 示例 : 


Todd(config-line)#line console ? 
% Unrecognized command 
Todd(config-1line)#exit 
Todd(config)#line console ? 

<0-0> First Line number 
Todd(config-1ine)#password console 
Todd(config-line)#1login 


由 于 只 有 一 个 控制 台 端口 , 因此 我 们 只 能 选择 编号 0。 我 们 可 将 所 有 线路 的 密码 都 设置 成 相同 的 ， 
但 出 于 安全 方面 的 考虑 ， 建 议 你 将 它们 设置 成 不 同 的 。 
还 有 其 他 几 个 与 控制 台 端 口 相关 的 命令 ， 你 必须 知道 。 
例如 ， 命 令 exec-timeout 0 0 将 控制 台 EXEC 会 话 的 超时 时 间 设 置 为 0， 这 意味 着 永远 不 超时 。 
默认 的 超时 时 间 为 10 分 钟 。( 如 果 你 喜欢 恶作剧 ， 可 尝试 将 其 设置 为 0 1， 这 将 把 控制 台 端 口 的 超时 
时 间 设 置 为 1 秒 。 要 修复 这 种 问题 ， 你 必须 不 断 按 向 下 箭头 ， 并 用 另 一 只 手 修改 超时 时 间 ! ) 
1ogging synchronous 是 个 很 不 错 的 命令 ,应 默认 启用 ,但 并 未 如 此 。 它 可 避免 因 不 断 出 现 控 制 
台 消 息影 响 你 的 输入 。 配 置 该 命令 后 ， 这 些 消 息 仍 会 出 现 ， 但 会 等 到 返回 到 路 由 器 提示 符 后 再 出 现 ， 
不 会 中 断 你 的 输入 。 这 样 ， 输 和 人 信息 将 更 容易 阅读 。 
下 面 的 示例 演示 了 如 何 配置 这 两 个 命令 : 
Todd(config-line)#line con 0 
Todd(config-line)#exec-timeout ? 
<0-35791> Timeout in minutes 
Todd(config-line)#exec-timeout 0 ? 
<0-2147483> Timeout in seconds 
<Cr> 
ToddCconfig-1ine)#exec-timeout 0 0 
Todd(config-line)#logging synchronous 


我 们 可 将 控制 台 超时 时 间 设 置 为 00 (永远 不 超时 ) 到 35 791 分 钟 2 147 483 秒 
注意 ”的 任何 值 。 软 认为 10 分 钟 。 
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4. Telnet 密码 
要 设置 使 用 Telnet 访问 路 由 器 时 进入 用 户 模式 的 密码 ， 我 们 可 使 用 命令 1ine vty。 如 果 路 由 器 
运行 的 不 是 思科 IOS 企业 版 ， 它 将 默认 有 5 条 VTY 线路 : 0 一 4。 但 如 果 运 行 的 是 企业 版 ， 线 路 将 多 
得 多 。 要 获悉 有 和 多少 条 线路 ， 最 佳 的 方法 是 使 用 问号 : 
Todd(config-line)#line vty 0 ? 
% Unrecognized command 
Todd(config-1ine)#exit 
Todd(config)#1line vty 0 ? 
<1-1180> Last Line number 
<Cr> 
Todd(config)#line vty 0 1180 
Todd(Cconfig-1ine)#password telnet 
Todd(config-1line)#login 
别 忘 了 ， 在 提示 符 (config-1ine)# 下 你 无 法 获取 帮助 。 要 使 用 问号 (? )， 你 必须 返回 全 局 配置 
模式 。 
如 果 你 试图 远程 登录 没有 设置 VTY 密码 的 路 由 器 ， 结 果 将 如 何 呢 ? 你 将 看 到 一 条 错误 消息 ， 它 
指出 连接 请 求 遭 到 拒绝 ， 因 为 没有 设置 密码 。 因 此 ， 如 果 在 试图 远程 登录 路 由 器 时 出 现 如 下 消息 : 
Todd#telnet SFRouter 
Trying SFRouter (10.0.0.1)..0pen 


Password required, but none set 
[Connection to SFRouter closed by foreign host] 
Todd# 
则 说 明 远 程 路 由 器 (这 里 为 SFRouter ) 没有 设置 VTY ( Telnet ) 密码 。 要 绕 开 这 种 障碍 ， 让 路 由 器 在 
没有 设置 Telnet 密码 时 也 允许 建立 Telnet 连接 ， 我 们 可 使 用 no 1ogin 命令 : 
SFRouter(config-1ine)#line vty 0 4 
SFRouter(config-1line)#no login 


pote i te ee 


OI At tener en Core et ae tt 


除非 在 测试 或 课堂 环境 中 ， 否 则 不 建议 使 用 no 1ogin 命令 让 没有 设置 密码 的 
告 ” 路 由 器 接受 Telnet 连接。 在 生产 环境 中 ， 请 一定 设置 VTY 密码 。 


给 路 由 器 配置 IP 地 址 后 ， 我 们 便 可 使 用 Telnet 程序 配置 和 检查 路 由 器 ， 而 不 必 使 用 控制 台电 缆 。 
在 任何 命令 提示 符 (DOS 或 Cisco ) 下 ， 我们 都 可 输入 telnet 来 运行 Telnet 程序 。 第 7 章 将 详细 介 
绍 Telnet。 

5. 设置 安全 外 壳 (SSH) 

我 们 可 以 使 用 安全 外 壳 蔡 代 Telnet。 与 使 用 非 加密 数 据 流 的 Telnet 相 比 ,SSH 创建 的 会 话 更 安全 。 
SSH 使 用 加 密 密 钥 发 送 数据 ， 以 免 以 明文 方式 发 送 用 户 名 和 密码 。 

设置 SSH 的 步骤 如 下 。 

(1) 设置 主机 名 : 


Router(config)#hostname Todd 
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(2) 设置 域名 ( 为 生成 加 密 密 钥 ， 必 须 有 用 户 名 和 域名 ): 


Todd(config)#ip domain-name Lammle .com 

(3) 将 用 户 名 设置 成 支持 SSH 客户 端 接 人 : 

Todd(config)#username Todd password Lammle 

(4) 生成 用 于 保护 会 话 的 加 密 密 钥 : 

Todd(config)#crypto key generate rsa general-keys modulus ? 
<360-2048> size of the key modu]us [360-2048] 

Todd(config)#crypto key generate rsa general-keys modulus 1024 

The name for the keys will be: Todd.Lammle.com 

% The key modulus size is 1024 bits 

% Generating 1024 bit RSA keys, keys will be non-exportable... [OK] 

*June 24 19:25:30.035: %SSH-5-ENABLED: SSH 1.99 has been enabled 

(5) 在 路 由 器 上 启用 SSH 第 2 版 。 并 非 必须 这 样 做 ， 但 强烈 推荐 这 样 做 : 

Todd(config)#ssh version 2 

(6) 进入 路 由 器 VTY 线路 配置 模式 : 

Todd(Cconfig)#Tiine vty 0 1180 

(7) 最 后 ， 指 定 依次 将 SSH 和 Telnet 作为 接 人 协议 : 


Todd(Cconfig-1ine)#transport input ssh telnet 


如 果 没 有 在 最 后 一 个 命令 的 末尾 指定 关键 字 telnet， 路 由 器 将 只 支持 SSH。 这 里 并 不 是 要 建议 
你 使 用 哪 种 方式 ， 而 只 是 想 说 明 SSH 比 Teinet 更 安全 。 


6.3.4 对 密码 进行 加 密 


默认 情况 下 ， 只 有 启用 加 密 密 码 是 加 密 的 ， 要 对 用 户 模式 密码 和 启用 密码 进行 加 密 ， 必 须 手 工 进 
行 配置 。 

在 路 由 器 上 执行 命令 show running-config 时 ， 你 将 看 到 除 启用 加 密 密 码 外 的 其 他 所 有 
密码 : 

Todd#sh running-config 

Building configuration... 


[output cut] 
I 


enable secret 5 $1$2R.r$DcRaVoOyBnUJBf7dbG9XEO 
enable password todd 

1 

[output cut] 

! 

line con 0 

exec-timeout 0 0 
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password console 
1ogging synchronous 
login 

line aux 0 

password aux 

login 

line vty 0 4 


password telnet 

login 

transport input telnet ssh 
line vty 5 15 
password telnet 

login 

transport input telnet ssh 
line vty 16 1180 

password telnet 

login 

! 
end 


要 手工 配置 密码 加 密 ， 我 们 可 使 用 命令 service password-encryption， 如 下 例 所 示 : 
Todd#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
Todd(config)#service password-encryption 
Todd(config)#exit 
Todd#sh run 
Building configuration... 
[output cut] 
! 
enable secret 5 $1$2R.r$DcRaVoOyBnUJBf7dbG9XEO 
enable password 7 131118160F 
1 
[output cut] 
1 
1ine con 0 
exec-timeout 0 0 
password 7 0605002F5F41051C 
1ogging synchronous 
1ogin 
line aux 0 
password 7 03054E13 


6.3 路 由 器 和 交换 机 的 管理 配置 167 


login 
line vty 0.4 

access-class 23 in 
password 7 01070308550E12 
login 

transport input telnet ssh 
line vty 5 15 
password 7 01070308550E12 
login 

transport input telnet ssh 
line vty 16 1180 

password 7 120D001B1COE18 
login 

1 


-end 


Todd#config t 

Todd(config)#no service password-encryption 

Todd(config)# 人 ^Z 

Todd# 

这 样 ， 密 码 就 将 被 加 密 。 在 前 面 的 示例 中 ， 我 们 对 密码 进行 了 加 密 ， 然 后 执行 命令 show run， 
最 后 取消 了 密码 加 密 。 正 如 你 看 到 的 ， 启 用 密码 和 线路 密码 都 被 加 密 了 。 

全 面 介绍 如 何在 路 由 器 上 设置 描述 前 ， 我 们 先 来 详细 探讨 密码 加 密 。 前 面 说 过 ， 如 果 你 设置 密码 
并 启用 命令 service password-encryption ， 必 须 在 禁用 加 密 服务 前 执行 命令 show 
running-config， 否 则 密码 将 不 会 被 加 密 。 并 非 一定 要 禁用 加 密 服务 ， 仅 当 路 由 器 的 CPU 使 用 率 很 
高 时 ， 你 才 需 禁用 加 密 服 务 。 如 果 在 设置 密码 前 就 启用 了 加 密 服务 ， 则 即使 不 查看 密码 ， 它 们 也 会 被 
加 密 。 


6.3.5 ”描述 


设置 接口 描述 对 管理 员 很 有 帮助 ， 与 主机 名 一 样 ， 描 述 也 只 在 本 地 有 意义 。 命 令 description 
很 有 用 ， 因 为 可 用 来 标识 电路 号 。 

下 面 是 一 个 示例 : 

Todd#config t 

Todd(config)#int s0/0/0 

Todd(config-if)#description Wan to SF circuit number 6fddal2345678 

Todd(config-if)#int fa0/0 

Todd(config-if)#description Sales VLAN 

Todd(Cconfig-if)#^Z 

Todd# 
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要 查看 接口 的 描述 ， 我 们 可 使 用 命令 show _ running-config 或 show interface: 
Todd#sh run 

foutput cut] 

! 

interface FastEthernet0/0 

description Sales VLAN 

ip address 10.10.10.1 255.255.255.248 

duplex auto 

speed auto 

! 

interface Serial10/0/0 

description Wan to SF circuit number 6fdda 12345678 

no ip address 

shutdown 

1 


[output cut] 


Todd#sh int f0/0 ~ 
FastEthernet0/0 is up, line protoco] js down 
Hardware 1is MV96340 Ethernet, address is 001a.2f55.c9e8 (bia 001a.2f55.c9e8) 
Description: Sales VLAN 
[output cut] 


Todd#sh int s0/0/0 

Serial0/0/0 is-administratively down, line protocol is down 
Hardware 1is GT96K Serial 
Description: Wan to SF circuit number 6fdda1l2345678 


真实 案例 . 
description 一 一 一 个 很 有 用 的 命令 


Bob 是 Acme Corporation 的 一 名 资深 网 络 管理 员 ， 该 公司 位 于 旧金山 ， 有 50 多 条 WAN 链 路 
连接 到 遍布 美国 和 加 拿 大 的 分 支 机 构 。 每 当 有 接口 出 现 故 障 时 ， 为 确定 它 连 接 的 电路 ， 并 找到 该 
WAN 链 路 提供 商 的 电话 号 码 ，Bob 都 需要 花费 大 量 时 间 。 

对 Bob 来 说 ， 接 口 命令 description 很 有 帮助 ， 因 为 他 可 使 用 这 个 命令 确定 每 个 路 由 器 接 
只 连接 的 链 路 。 通 过 给 每 个 WAN 接口 添加 电路 号 以 及 提供 商 的 电话 号 码 ，Bob 受益 菲 浅 。 

因此 ， 若 花 几 小 时 给 每 个 路 由 器 接口 添加 这 些 信息 ， 当 WAN 链 路 出 现 故障 时 ( 这样 的 情况 
肯定 会 发 生 )，Bob 将 节省 大 量 宝贵 的 时 间 。 
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使 用 do 命令 

从 IOS 12.3 版 起 , 思科 终于 在 IOS 中 添加 了 一 个 这 样 的 命令 , 即 让 你 能 够 在 配置 模式 下 查看 配置 
和 统计 信息 。( 在 前 一 节 的 示例 中 ， 所 有 show 命令 都 是 在 特权 模式 下 运行 的 。) 

事实 上 ， 在 任何 IOS 中 ， 若 我 们 试图 在 全 局 配置 模式 下 查看 配置 ， 都 将 看 到 如 下 错误 消息 : 


Router(C(config)#sh run 


% Invalid input detected at '^' marker. 

下 面 是 在 运行 IOS 12.4 版 的 路 由 器 上 使 用 do 语法 执行 该 命令 得 到 的 输出 ， 请 将 上 面 的 输出 与 该 
输出 进行 比较 。 

Enter configuration commands, one per line. End with CNTL/Z. 

ToddCconfig)#do show run 

Building configuration... 


Current configuration : 3276 bytes 
! 


[output cut] 


Todd(config)#do sh int f0/0 
FastEthernet0/0 is up, line protocol is down 
Hardware is MV96340 Ethernet, address 1s 001a.2f55.c9e8 (bia 
001a.2f55.c9e8) 
Description: Sales VLAN 
Loutput cut] 


基本 上 , 现在 我 们 可 在 任何 配置 提示 符 下 运行 任何 命令 , 这 是 不 是 很 酷 ? 对 于 前 面 的 密码 加 密 示 
例 ,使 用 do 命令 绝对 可 以 加 快 任务 的 完成 速度 ， 这 确实 是 个 非常 好 的 命令 ! 
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接口 配置 是 最 重要 的 路 由 器 配置 之 一 ， 因 为 若 没有 接口 ， 路 由 器 几乎 就 毫 无 用 处 。 另 外 ， 要 与 其 
他 设备 通信 ， 接 口 配置 必须 绝对 精确 。 配 置 接口 时 ， 我 们 需要 指定 网 络 层 地 址 、 介 质 类 型 和 带宽 ， 还 
需 使 用 其 他 管理 命令 。 

不 同 路 由 器 在 选择 要 配置 的 接口 时 有 不 同 的 方法 。 例 如 ， 下 面 的 命令 表明 ， 路 由 器 有 10 个 串 行 
接口 ， 编 号 为 0 一 9: 

Router(config)#int serial ? 

<0-9> Serial interface number 

现在 该 选择 要 配置 的 接口 了 。 选 择 要 配置 的 接口 后 ， 你 就 进入 了 接口 配置 模式 。 例 如 ， 下 面 的 命 
令 指定 对 5 号 串 行 接口 进行 配置 : 

Router(config)#int serial 5 

Router(config)-if)# 
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在 这 里 ,我 使 用 的 是 老式 2522 路 由 器 , 它 有 一 个 以 太 网 10BaseT 端口 ,因此 可 使 用 命令 interface 
ethernet 0 来 选择 该 接口 ， 如 下 所 示 : 
Router(Cconfig)#int ethernet ? 
<0-0> Ethernet interface number 
Router(config)#int ethernet 0 
Router(config-if)# 
正如 前 面 指出 的 ，2500 是 一 种 固定 配置 的 路 由 器 。 这 意味 着 购买 这 种 型 号 的 路 由 器 后 ,不 能 改变 
其 物理 配置 ， 这 是 我 不 太 使 用 它们 的 重要 原因 。 在 生产 环境 中 ,我 肯定 不 会 使 用 这 种 路 由 器 ， 但 它们 
价格 低廉 ,非常 适合 用 于 备考 。 
要 选择 接口 ， 我 们 总 是 使 用 命令 interface type number, 但 2600 和 2800 系列 路 由 器 (实际 
上 是 任何 ISR 路 由 器 ) 有 一 个 物理 搬 槽 ， 而 播 人 该 插 槽 的 模块 有 端口 号 ， 因 此 在 模块 化 路 由 器 上 ， 需 
使 用 命令 interface type slot/port， 如 下 所 示 : 
Router(config)#int fastethernet ? 
<0-1> FastEthernet interface number 
Router(config)#int fastethernet 0 
% Incomplete command . 
Router(config)#int fastethernet 0? 
/ 
Router(Cconfig)#int fastethernet 0/? 
<0-1> FastEthernet interface number 
注意 ， 我 们 不 能 只 使 用 命令 int fastethernet 0， 而 必须 指定 类 型 和 捅 槽 号 /端口 号 ， 即 使 用 命 
令 type slot/port 或 int fastethernet 0/0 (或 int fa 0/0 )。 
ISR 系列 路 由 器 的 情况 基本 与 此 相同 ， 只 是 选项 更 多 。 例 如 ， 要 选择 内 置 的 快速 以 太 网 接口 ， 我 
们 使 用 的 命令 与 使 2600 系列 路 由 器 时 相同 : 
Todd(config)#int fastEthernet 0/? 
<0-1> FastEthernet interface number 
Todd(config)#int fastEthernet 0/0 
Todd(config-if)# 
但 其 他 模块 不 同 ， 它 们 需要 使 用 3 个 编号 ， 而 不 是 两 个 。 第 一 个 0 表示 路 由 器 本 身 ， 第 二 个 编号 
为 播 槽 号 ， 第 三 个 为 端口 号 。 下 面 是 在 2811 路 由 器 上 选择 一 个 串 行 接口 的 命令 : 
Todd(config)#interface serial ? 
<0-2> Serial interface number 
Todd(config)#interface serial 0/0/? 
<0-1> Serial interface number 
Todd(config)#interface serial 0/0/0 
Todd(config-if)# 
这 看 起 来 有 点 麻烦 ,但 实际 上 并 不 难 。 我 们 建议 总 是 先 查 看 运行 配置 输出 ， 以 获悉 要 配置 哪些 接 
口 。 下 面 是 我 在 2801 路 由 器 上 得 到 的 输出 : 
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Todd(config-if)#do show run 
Building configuration... 
[output cut] 

! 

interface FastEthernet0/0 
no ip address | 
shutdown 

duplex auto 

speed auto 

! 
interface FastEthernet0/1 
no ip address 

shutdown 

duplex auto 


speed auto 
1 


interface Serial0/0/0 
no ip address 
shutdown 

no fair-queue 

! 

interface Serial0/0/1 
no ip address 
shutdown 

! 

interface Serial0/1/0 
no ip address 
shutdown 

! 

interface Serial0/2/0 
no ip address 
shutdown 

clock rate 2000000 

! 


[output cut] 


出 于 简化 的 目的 ， 这 里 没有 列 出 完整 的 运行 配置 ， 但 提供 了 你 需要 知道 的 所 有 信息 。 从 上 述 输出 
可 知 ， 有 两 个 内 置 的 快速 以 太 网 接口 、 两 个 位 于 插 槽 0 中 的 串 行 接口 (0/0/0 和 0/0/1 )、 一 个 位 于 插 模 
1 中 的 串 行 接口 (0/10 ) 和 一 个 位 于 插 槽 2 中 的 串 行 接口 (0/2/0 )。 看 到 这 样 的 接口 后 ， 你 就 更 容易 明 
白 模 块 是 如 何 插入 路 由 器 的 。 | 

需要 指出 的 是 ， 在 2500 路 由 器 上 输入 interface e0、 在 2600 路 由 器 上 输入 interface 
fastethernet 0/0 或 在 2800 路 由 器 上 输入 interface serial 0/1/0 时 ,实际 上 是 选择 了 要 配置 
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的 接口 。 随 后 ， 这 些 接口 的 配置 方式 完全 相同 。 
接 下 来 的 几 节 将 继续 讨论 路 由 器 接口 ， 包 括 如 何 启用 接口 以 及 如 何 给 接口 分 配 全 地 址 。 


启用 接口 


要 禁用 接口 ， 我 们 可 使 用 接口 配置 命令 shutdown; 要 启用 接口 ， 我 们 可 使 用 命令 no shutdown。 

如 果 接 口 被 禁用 ， 则 在 命令 show interfaces (简写 为 sh int ) 的 输出 中 ,该 接口 显示 为 管理 
性 关闭 〈down ): 

Todd#sh int f0/1 

FastEthernet0/1 is administratively down, line protocol is down 

[output cut] 


另 一 种 检查 接口 状态 的 方式 是 使 用 命令 show running-config。 默 认 情 况 下 ， 所 有 接口 都 被 禁 
用 。 要 启用 接口 ， 我 们 可 使 用 命令 no shutdown ( 简写 为 no shut ): 

Todd#config t 

Todd(config)#int f0/1 

Todd(config-if)#no shutdown 

Todd(Cconfig-if)# 

*Feb 28 22:45:08.455: %LINK-3-UPDOWN: Interface FastEthernet0/1, 

changed state to up 

Todd(config-if)#do show int f0/1 

FastEthernetO0/1 is up, line protocol is up 

[output cut] 


1. 给 接口 配置 IP 地 址 

虽然 并 非 一 定 要 给 路 由 器 配置 IP 地 址 ,但 人 们 通常 都 会 这 样 做 。 要 给 接口 配置 IP 地 址 ， 我 们 可 
在 接口 配置 模式 下 使 用 命令 ip address: 

Todd(config)#int f0/1 

Todd(config-if)#ip address 172.16.10.2 255.255.255.0 

别 忘 了 使 用 命令 no shutdown 启用 接口 。 别 忘 了 查看 命令 show interface int 的 输出 ， 看 接 
口 是 否 被 管理 性 关闭 。 命 令 show running-config 也 提供 这 种 信息 。 


命令 ip address address mask 在 接口 上 启用 也 了 处理 功能 。 


如 果 要 给 接口 配置 第 二 个 地 址 ， 我 们 必须 使 用 参数 secondary。 如 果 配 置 另 一 个 IP 地 址 并 按 回 
车 键 ， 它 将 取代 原来 的 主 他 地 址 和 子 网 掩 码 。 这 无 疑 是 思科 IOS 最 优秀 的 功能 之 一 。 
下 面 就 来 试 一 试 。 要 添加 辅助 卫 地 址 ， 只 需 使 用 参数 secondary: 
Todd(config-if)#ip address 172.16.20.2 255.255.255.0 ? 
secondary Make this IP address a secondary address 
<Cr> 
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Todd(config-if)#ip address 172.16.20.2 255.255.255.0 secondary 
Todd(config-if)# 人 2 

Todd(config-if)#do sh run 

Building configuration... 

[output cut] 


interface FastEthernet0/1 

ip address 172.16.20.2 255.255.255.0 secondary 
ip address 172.16.10.2 255.255.255.0 

duplex auto 


speed auto 
! 


不 建议 给 接口 配置 多 个 人 P 地址 ， 因 为 这 种 做 法 糖 糕 而 低 效 。 这 里 之 所 以 介绍 这 个 主题 ， 是 怕 你 遇 . 
到 喜欢 糟糕 网 络 设计 的 MIS 经 理 , 而 他 可 能 会 要 求 你 管理 这 样 的 网 络 。 也 许 有 一 天 , 有 人 会 向 你 问 起 四 
辅助 IP 地 址 ， 如 果 你 知道 ， 就 显得 很 聪明 。 
2. 使 用 管道 
这 里 说 的 管道 不 是 通常 意义 上 的 管道 ， 而 是 输出 限定 符 。( 虽然 我 见 过 大 量 的 路 由 器 配置 ， 但 有 
时 也 会 迷失 方向 。) 管道 (| ) 让 你 能 够 在 配置 或 其 他 宛 长 输出 中 迅速 找到 目标 ， 如 下 例 所 示 : 
Todd#sh run | ? 
append Append redirected output to URL (URLs supporting append operation 
only) 
begin Begin with the line that matches 
exclude Exclude lines that match 
include Include lines that match 
redirect Redirect output to URL 
section Filter a section of output 
tee Copy output to URL 


Todd#sh run | begin interface 
interface FastEthernet0/0 
description Sales VLAN 
ip address 10.10.10.1 255.255.255.248 
duplex auto 
speed auto 
! 
interface FastEthernet0/1 
ip address 172.16.20.2 255.255.255.0 secondary 
ip address 172.16.10.2 255.255.255.0 
duplex auto 


speed auto 
! 
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interface Serial0/0/0 

description Wan to SF circuit number 6fdda 12345678 
no ip address 

1 


基本 上 ， 管道 符号 (输出 限定 符 ) 可 帮助 你 快速 找到 目标 ， 比 在 路 由 器 的 全 部 配置 中 寻找 快 
得 多 。 

在 确定 大 型 路 由 选择 表 是 否 包含 特定 路 由 时 ， 我 经 常 使 用 它 ， 例 如 : 

Todd#sh ip route | include 192.168.3 ,32 

R 192.168.3.32 [120/2] via 10.10.10.8, 00:00:25, FastEthernet0/0 

Todd# 

首先 需要 指出 的 是 ,该 路 由 选择 表 包 含 100 多 项 ， 如 果 不 使 用 管道 ， 我 可 能 需要 在 输出 中 查找 很 
长 时 间 ! 这 是 一 个 功能 强大 的 高 效率 工具 ， 可 帮 你 在 配置 中 快速 找到 一 行 或 在 路 由 选择 表 中 快速 找到 
特定 路 由 《〈 如 上 例 所 示 )， 从 而 节省 大 量 的 时 间 和 精力 。 

花 点 时 间 尝 试 使 用 该 管道 符号 吧 。 熟 悉 其 用 法 后 ， 你 将 热衷 于 使 用 新 学 的 技能 快速 分 析 路 由 器 
输出 。 

3. 配置 串 行 接口 的 命令 

配置 串 行 接口 前 ， 你 需要 了 解 一 些 重要 的 信息 。 例 如 ， 我 们 通常 使 用 串 行 接口 连接 CSU/DSU 设 
备 ， 这 种 设备 为 路 由 器 线路 提供 时 钟 频率 ， 如 图 6-4 所 示 。 


DTE 


”时 钟 频率 通常 由 DCE 网 络 提供 给 路 由 器 
在 非 生产 环境 中 ， 并 非 总 是 有 DCE 网 络 


6-4 典型 的 WAN 连接 


在 该 图 中 , 我 们 使 用 串 行 接口 通过 CSU/DSU 连接 到 一 个 DCE 网 络 , 该 网 络 向 路 由 器 接口 提供 时 
钟 频率 。 然 而 ， 如 果 采 用 的 是 背 对 背 配 置 (例如 ， 如 图 6-5 所 示 的 实验 环境 配置 )， 电 缆 的 一 端 ， 即 
DCE ( Data Communication Equipment， 数 据 通信 设备 ) 端 必须 提供 时 钟 频率 。 

默认 情况 下 ， 思 科 路 由 器 的 串 行 接口 都 是 DTE ( Data Terminal Equipment， 数 据 终端 设备 )， 这 意 
味 着 如 果 你 想 让 接口 充当 DCE 设备 ， 必 须 对 其 进行 配置 ， 使 其 提供 时 钟 频率 。 然 而 ， 在 生产 环境 的 
T1 连接 上 ， 我 们 不 需要 提供 时 钟 频率 ， 因 为 串 行 接口 与 CSU/DSU 相连 ， 如 图 6-4 所 示 。 

我 们 可 使 用 命令 clock rate 配置 DCE 串 行 接口 ; 
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必要 时 设置 时 钟 频率 


‘lodd#configt 
‘Todd(config)#intexface serial 0 
Todd(config-if)#clock rate 64000 


DCE 端 由 电缆 决定 
只 在 DCE 端 设置 时 钟 频率 


show controllers 将 显示 电缆 连接 类 型 
图 6-5 在 非 生产 网 络 中 提供 时 钟 频率 


Todd#config t 
Enter configuration commands, one per line. End with CNTLVZ. 
Todd(config)#int s0/0/0 
Todd(config-if)#clock rate ? 
Speed (bits per second) 

1200 

2400 

4800 

9600 

14400 

19200 

28800 

32000 

38400 

48000 

56000 

57600 

64000 

72000 

115200 

125000 

128000 

148000 

192000 

250000 

256000 

384000 

500000 

512000 

768000 
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800000 

1000000 
2000000 
4000000 
5300000 
8000000 


<300-8000000> Choose clockrate from list above 


Todd(config-if)#clock rate 1000000 


命令 clock rate 以 比特 每 秒 为 单位 。 要 确定 路 由 器 串 行 接口 连接 的 是 否 是 DCE 电缆 ,我 们 可 
查看 电缆 两 端的 标签 (DCE 或 DTE )， 还 可 使 用 命令 show controllers 7nt: 

Todd#sh controllers s0/0/0 

Interface Serial0/0/0 

Hardware is GT96K 

DTE V.35idb at Ox4342FCBO, driver data structure at Ox434373D4 

下 面 是 关于 DCE 连接 的 输出 : 

Todd#sh controllers s0/2/0 

Interface Serial0/2/0 

Hardware is GT96K 

DCE V.35, clock rate 1000000 


你 需要 熟悉 的 下 一 个 命令 是 bandwidth。 在 所 有 思科 路 由 器 上 ， 串 行 链 路 的 默认 带宽 都 是 Tl 
(1.544 Mbit/s ), 但 这 与 数据 如 何在 链 路 上 传输 毫 无 关系 。 诸 如 EIGRP 和 OSPF 等 路 由 选择 协议 使 用 串 
行 链 路 的 带宽 计算 前 往 远 程 网 络 的 最 佳 路 径 , 如 果 你 使 用 的 是 RIP, 串 行 链 路 的 带宽 设置 将 无 关 紧要 ， 
因为 RIP 只 使 用 跳 数 确定 最 佳 路 径 。 如 果 你 正 重读 这 一 部 分 并 想 知道 路 由 选择 协议 和 度量 值 是 什么 ， 
请 不 用 担心 ， 第 8 章 将 介绍 它们 。 

下 面 的 示例 演示 了 如 何 使 用 命令 bandwi dth: 

Todd#config t 

Todd(config)#int s0/0/0 

Todd(config-if)#bandwidth ? 

<1-10000000> Bandwidth in kilobits 
inherit Specify that bandwidth is inherited 
receive Specify receive-side bandwidth 

Todd(config-if)#bandwidth 1000 


不 同 于 命令 clock rate, 命令 bandwidth 使 用 的 单位 是 千 比 特 每 秒 ， 你 注意 到 这 一 点 了 吗 ? 


学 习 这 些 与 命令 clock rate 相关 的 配置 示例 后 ， 你 需要 知道 的 是 ，ISR 路 由 
注意 ”器 自动 检测 DCE 连接 并 将 时 钟 频 率 设 置 为 2 000 000。 然 而 ， 为 通过 CCNA 考试 ， 
你 必须 明白 命令 clock rate， 虽然 新 型 路 由 器 自动 设置 时 钟 频率 。 
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6.5 查看、 保存 和 删除 配置 


如 果 运 行 设置 模式 ， 你 将 被 询问 是 否 要 使 用 刚 创 建 的 配置 。 如 果 回 答 Yes， 运 行 模式 将 把 DRAM 
中 运行 的 配置 〈 称 为 运行 配置 ) 复制 到 NVRAM， 并 将 该 文件 命名 为 startup-config。 希 望 你 总 是 使 用 


CLI 而 不 是 设置 模式 。 


我 们 可 手工 将 DRAM (通常 简称 为 RAM ) 中 的 配置 文件 复制 并 保存 到 NVRAM， 为 此 可 使 用 命 


令 copy running-config startup-config (简写 为 copy run start ): 


Todd#copy running-config startup-config 
Destination filename [startup-config]? [press enter] 
Building configuration... 


[OK] 
Todd# 


Bui1ding configuration... 

看 到 其 答案 位 于 [] 内 的 问题 后 ， 如 果 按 回 车 键 ， 则 表示 选择 该 默认 答案 。 

另外 ， 该 命令 询问 目标 文件 名 时 ， 默 认 答案 为 startup-config。 它 这 样 询问 的 原因 是 ,我们 可 将 配 
置 复制 到 几乎 任何 地 方 ， 如 下 所 示 

Todd#copy running-config ? 
Copy to archive: file system 


archive: 


flash: 

ftp: 

http: 

https: 

ips-sdf 

null: 

nvram: 

rcp: 
running-config 
scp: 
startup-config 
syslog: 
system;: 

tftp: 

xmodem: 
ymodem: 


Copy to 
Copy to 
Copy to 
Copy to 


flash: file system 
ftp: file system 
http: file system 
https; file system 


Update (merge with) IPS signature configuration 


Copy to 
Copy to 
Copy to 


null: file system 
nvram: file system 
rcp: file system 


Update (merge with) current system configuration 


Copy to 
Copy to 
Copy to 
Copy to 
Copy to 
Copy to 
Copy to 


scp: file system 
startup configuration 
syslog: file system 
system: file system 
tftp: file system 
xmodem: file system 
ymodem: file system 


第 7 章 将 详细 介绍 如 何 复制 文件 以 及 将 它们 复制 到 什么 地 方 。 

要 查看 这 些 文件 的 内 容 ， 我 们 可 在 特权 模式 下 执行 命令 show running-config 或 show 
startup-config。 命 令 show _ running-config 的 简写 为 sh run ， 用 于 查看 当前 配置 : 

Todd#show running-config 

Building configuration... 
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Current configuration : 3343 bytes 

! 

version 12.4 

[output cut] 

命令 show startup-config (其 简写 之 一 是 sh start ) 用 于 查看 路 由 器 下 次 重启 时 将 使 用 的 配 
置 ， 它 还 指出 启动 配置 文件 占用 了 多 少 NVRAM， 如 下 所 示 : 

Todd#show startup-config 

Using 1978 out of 245752 bytes 

1 

version 12.4 

[output cut] 


6.5.1 删除 配置 及 重启 路 由 器 
要 删除 启动 配置 ， 我 们 可 使 用 命令 erase startup-config: 


Todd#erase startup-config 
Erasing the nvram filesystem will remove all configuration files! 
Continue? [confirm] [enter] 
LOK] 
Erase of nvram: complete 
Todd# 
*Feb 28 23:51:21.179: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram 
Todd#sh startup-config 
startup-config is not present 
Todd#reload 
Proceed with reload? [confirm]System configuration has been modified. 
Save? [yes/nol: n 
执行 命令 erase startup-config 后 ， 如 果 重 启 路 由 器 (或 断 电 后 再 通电 )， 我 们 将 进入 设置 模 
式 ， 因 为 NVRAM 中 没有 保存 任何 配置 。 我 们 可 随时 按 Ctrl + C 退出 设置 模式 (命令 reload 只 能 在 
特权 模式 下 执行 )。 
现在 ， 你 不 应 使 用 设置 模式 配置 路 由 器 。 请 对 设置 模式 说 no， 因 为 它 则 在 帮助 不 知道 如 何 使 用 
CLI 的 人 ， 而 你 不 再 是 这 样 的 人 。 坚 强 起 来 ， 你 能 做 到 ! 


6.5.2 ”验证 配置 


显然 ， 要 验证 当前 配置 ， 最 佳 方式 是 使 用 命令 show running-config; 要 验证 路 由 器 下 次 重启 
时 将 使 用 的 配置 ， 最 佳 方式 是 使 用 show startup-config。 

查看 运行 配置 后 , 如 果 它 看 起 来 没有 任何 问题 , 我 们 可 使 用 Ping 和 Telnet 等 实用 程序 对 其 进行 验 
证 。Ping 是 一 个 使 用 ICMP (在 第 3 章 讨论 过 ) 回应 请 求 和 应 答 的 程序 ， 它 向 远程 主机 发 送 分 组 ， 如 
果 该 主机 作出 了 响应 ， 你 便 知 道 它 在 运行 , 但 无 法 知道 它 是 否 运行 正常 ,正如 仅仅 能 够 Ping Microsoft 
服务 器 并 不 意味 着 你 能 够 登录 该 服务 器 。 尽 管 如 此 , Ping 还 是 为 排除 互联 网 络 故障 提供 了 不 错 的 起 点 。 
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你 知道 吗 ，Ping 可 用 于 多 种 协议 。 要 验证 这 一 点 ,我 们 可 在 路 由 器 用 户 模式 或 特权 模式 提示 符 下 
输入 ping ?: 
Router#ping ? 


WORD Ping destination address or hostname 
appletalk Appletalk echo 
Clns CLNS echo 

decnet DECnet echo 

ip IP echo 

ipv6 IPv6 echo 

ipx Novell/IPX echo 

srb srb echo 

tag Tag encapsulated IP echo 

<Cr> 


如 果 你 要 获悉 邻居 的 网 络 层 地 址 ,以 便 将 其 用 于 执行 Ping 操作 ,可 进入 该 路 由 器 或 交换 机 ,也 可 日 
使 用 命令 show cdp entry * protocol1。 

你 还 可 使 用 扩展 Ping， 以 修改 默认 参数 ， 如 下 所 示 : 

Router#ping 

Protocol [ip]: [enter] 

Target IP address: 1.1.1.1 

Repeat count [5]: 100 

patagram size [100]: 1500 

Timeout in seconds [2]: 

Extended commands [n]: y 

Source address or interface: Fastethernet0/0 

Type of service [0] : 

Set DF bit in IP header? [no] : 

Validate reply data? [no] : 

Data pattern [OxABCD]: 

Loose, Strict, Record, Timestamp, Verbose[none]: verbose 

Loose, Strict, Record, Timestamp, Verbose[V]: 

Sweep range of sizes [n] : 

Type escape sequence to abort. 

Sending 100, 1500-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds: 

Packet sent with a source address of 10.10.10.1 


注意 , 扩展 Ping 让 您 能 够 : 将 重复 次 数 设 置 成 比 默认 值 5 大; 将 数据 报 长 度 设置 得 更 大 ， 这 将 增 
大 MTU， 从 而 便于 更 好 地 测试 吞吐 量 ; 指定 源 接口 一 一 可 指定 Ping 分 组 来 自 哪个 接口 ， 这 在 诊断 故 
障 时 很 有 帮助 。 


asta 


注意 CDP (Cisco Discovery Protocol， 思 科 发 现 协议 ) 将 在 第 7 章 介 绍 。 
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不 同 于 Ping ( 它 只 确定 主机 是 否 有 响应 ),traceroute 使 用 ICMP 和 了 琴 存 活 时 间 (TTIL ) 跟踪 分 
组 穿越 互联 网 络 的 路 径 。traceroute 也 可 用 于 多 种 协议 。 


Router#traceroute ? 


WORD Trace route to destination address or hostname 
appletaik AppleTalk Trace 

clns ISO CLNS Trace 

ip IP Trace 

ipv6 IPv6 Trace 

ipx IPX Trace 

<cr> 


Telnet、FTP 和 HTTP 是 最 佳 的 工具 ， 因 为 它们 在 网 络 层 和 传输 层 分 别 使 用 下 和 TCP 来 创建 到 远 
程 主机 的 会 话 。 如 果 可 使 用 Telnet、FTP 或 HTTP 连接 到 设备 ， 则 说 明 耳 连接 性 没有 任何 问题 。 
Router#telnet ? 
WORD IP address or hostname of a remote System 
<cr> 
在 提示 符 Router# 下， 如 果 只 输入 主机 名 或 瑟 地址 ， 你 将 被 认为 要 使 用 Telnet 一 一 无 需 输入 命令 
telnet。 
在 接 下 来 的 几 节 中 ， 我 将 演示 如 何 查看 接口 统计 信息 。 
1. 使 用 命令 show interface 进行 验证 
验证 配置 的 另 一 种 方式 是 使 用 命令 show interface。 首 先 介 绍 show interface ?， 它 显示 可 
供 验证 和 配置 的 所 有 接口 。 


注意 命令 show interfaces 显示 路 由 器 上 所 有 接口 的 可 配置 参数 和 统计 信息 。 


验证 路 由 器 和 网 络 并 排除 其 故障 时 ， 这 个 命令 很 有 用 。 下 面 是 我 在 2811 路 由 器 上 ， 删 除 配置 并 
重启 后 执行 命令 show interface ?得 到 的 输出 : 


Router#sh ?int ? 


Async Async interface 

BVI Bridge-Group Virtual Interface 

CDMA-Ix CDMA Ix interface 

CTunnel CTunnel interface 

Dialer Dialer interface 

FastEthernet FastEthernet IEEE 802.3 

Loopback Loopback interface 

MFR Multilink Frame Relay bundle interface 
Multilink Multilink-group interface 

Nu]1] Null interface 


Port-channel 
Serial 


Ethernet Channe] of interfaces 
Serial 
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Tunnel Tunnel] interface 
Vif PGM Multicast Host interface 
Virtual-PPP Virtual PPP interface 


Virtual-Template Virtual Template interface 
Virtual-TokenRing Virtual TokenRing 


accounting Show interface accounting 

counters Show interface counters 

crb Show interface routing/bridging info 

dampening Show interface dampening info 

description Show interface description 

etherchanne1 Show interface etherchannel information 

irb Show interface routing/bridging info 

mac-accounting Show interface MAC accounting info 

mpls-exp Show interface MPLS experimental accounting info 

precedence Show interface precedence accounting info 

pruning Show interface trunk VTP pruning information 

rate-1imit Show interface rate-1imit info 

stats Show interface packets & octets, in & out, by switching 
path 

status Show interface line status 

summary Show interface summary 

switching Show interface switching 

switchport Show interface switchport information 

trunk Show interface trunk information 


| Output modifiers 
<cr> 
在 上 述 输出 中 ， 只 有 FastEthernet、Serial 和 Async 是 物理 接口 ， 其 他 都 是 逻辑 接口 以 及 可 用 于 验 
证 接口 的 命令 。 
接 下 来 要 介绍 命令 show interface fastethernet 0/0， 它 显示 硬件 地 址 、 逻 辑 地 址 、 封 装 方 
法 以 及 有 关 冲 突 的 统计 信息 ， 如 下 所 示 : 
Router#sh int f0/0 
FastEthernet0/0 is up, line protocol is up 
Hardware is MV96340 Ethernet,. address is 001la.2f55.c9e8 (bia 001a.2f55.c9e8) 
Internet address is 192.168.1.33/27 
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec， 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation ARPA, loopback not set 
Keepalive set (10 sec) 
Auto-duplex, Auto Speed，100BaseTX/FX 
ARP type: ARPA, ARP Timeout 04:00:00 
Last input never, output 00:02:07, output hang never 
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Last clearing of "show interface" counters never 
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 
Queueing strategy: fifo 
Output queue: 0/40 (size/max) 
5 minute input rate 0 bits/sec, 0 packets/sec 
5 minute output rate 0 bits/sec, 0 packets/sec 
0 packets input, 0 bytes 
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 
0 watchdog 
0 input packets with dribble condition detected 
16 packets output, 960 bytes, 0 underruns 
0 output errors, 0 collisions, 0 interface resets 
0 babbles, 0 late collision, 0 deferred 
0 lost carrier, 0 no carrier 
0 output buffer failures, 0 output buffers swapped out 
Router# 
你 可 能 猜 到 了 , 我 将 讨论 上 述 输出 中 的 重要 统计 信息 , 但 在 此 之 前 , 我 必须 问 你 : 接口 FastEthernet 
0/0 位 于 哪个 子 网 中 ? 该 子 网 的 广播 地 址 和 合法 主机 地 址 范围 是 什么 ? 
你 必须 能 够 快速 确定 这 些 内 容 。 如 果 不 能 ， 我 来 告诉 你 : 该 接口 的 地 址 为 192.168.1.33/27， 而 /27 
对 应 的 子 网 掩 码 为 255.255.255.224( 如 果 你 现在 还 不 知道 这 一 点 ， 那 能 够 通过 CCNA 考试 就 是 奇迹 
了 )， 因 此 第 四 字 节 的 块 大 小 为 32。 所 以 ， 子 网 为 0、32、64 等 ; 该 快速 以 太 网 接口 位 于 子 网 32 中 ; 
该 子 网 的 广播 地 址 为 64， 合 法 的 主机 地 址 范围 为 33 一 62。 


如 果 确 定 上 述 内 容 有 困难 ， 要 挠 救 你 必然 失败 的 命运 ， 现 在 就 回 过 头 去 阅读 第 
4 章 ， 并 反复 阅读 ， 直 到 完全 掌握 为 止 。 


注意 


该 接口 处 于 活动 状态 ， 看 起 来 运行 正常 。 命 令 show interfaces 指出 在 接口 上 是 否 发 生 了 错误 ， 
显示 MTU (Maximum Transmission Unit， 最 大 传输 单元 ， 即 可 在 该 接口 上 传输 的 最 大 分 组 长 度 )， 还 
显示 路 由 选择 协议 使 用 的 带宽 (BW )、 可 靠 性 (255/255 表示 完美 ) 以 及 负载 ( 1/255 表示 没有 负载 )。 

继续 以 前 面 的 输出 为 例 。 该 接口 的 带宽 是 多 少 呢 ? 该 接口 是 一 个 快速 以 太 网 接口 ， 这 泄露 了 其 带 
宽 。 另 外 ， 从 输出 可 知 ， 带 宽 为 100 000 Kbit， 这 相当 于 100 000 000 (Kbit 意味 着 再 加 3 个 零 )， 即 
100 Mbits (快速 以 太 网 )。 吉 比特 为 1 000 000 Kbit/s。 

命令 show interface 显示 的 最 重要 的 统计 信息 是 ， 线 路 协议 和 数据 链 路 协议 的 状态 。 如 果 输 出 
为 FastEthernet 0/0 is up 和 1ine protocol1 is up， 则 表明 接口 运行 正常 : 

Router#sh int fa0/0 

FastEthernet0/0 is up, line protocol is up 

第 一 项 指 的 是 物理 层 ， 如 果 它 检测 到 载波 ， 则 为 up; 第 二 项 指 的 是 数据 链 路 层 ， 它 检测 来 自 另 一 
端的 存活 消息 〈 设 备 使 用 存活 消息 确保 它们 之 间 的 连接 性 )。 
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下 面 的 示例 说 明了 上 串 行 接口 常 出 现 的 问题 : 
Router#sh int s0/0/0 
Serial0/0 is up, line protocol is down 


如 果 线 路 处 于 up 状态 ,而 线路 协议 处 于 down 状态 , 说 明 存 在 存活 或 成 帧 方面 的 问题 一 一 可 能 是 
封装 不 匹配 。 我 们 建议 大 家 在 两 端 检 查 存活 消息 ， 确 保 它们 匹配 、 设 置 了 时 钟 频率 且 封 装 类 型 相同 。 
上 述 输出 表明 数据 链 路 层 出 现 了 问题 。 

如 果 线 路 接口 和 协议 都 处 于 down 状态 ， 表 明 接 口 或 电缆 出 现 了 问题 。 下 面 的 输出 表明 物理 层 出 
现 了 问题 : 

Router#sh int s0/0/0 

Serial0/0 is down, Tine protocol is down 

如 果 一 端 被 管理 性 关闭 ( 如 下 所 示 )， 则 远程 端的 线路 接口 和 协议 都 将 处 于 down 状态 : 

Router#sh int s0/0/0 

Serial0/0 is administratively down, line protocol is down . 


要 启用 接口 ， 我 们 可 在 接口 配置 模式 下 执行 命令 no shutdown。 

在 下 面 的 示例 中 ， 我 们 使 用 命令 show interface serial 0/0/0 显示 了 串 行 线路 的 状态 和 
MTU 一 一 默认 为 1500 B。 它 还 指出 带宽 (BW ) 为 1.544 Mbits， 这 是 所 有 思科 串 行 链 路 的 默认 带 
宽 ，EIGRP 和 OSPF 等 路 由 选择 协议 使 用 它 计 算 度量 值 。 另 一 项 重要 的 配置 是 存活 定时 器 一 一 默认 为 
10 秒 。 路 由 器 每 隔 10 秒 向 邻居 发 送 一 条 存活 消息 ; 如 果 为 两 台 路 由 器 配置 的 存活 定时 器 不 同 ， 它 们 
将 无 法 相互 通信 。 

Router#sh int s0/0/0 

Serial0/0 is up, line protocol is up 

Hardware is HD64570 
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 Usec， 
reliability 255/255, txiload 1/255, rxload 1/255 
Encapsulation HDLC，1oopback not set, keepalive set 
(10 sec) 
Last input never, output never, output hang never 
Last clearing of "show interface" counters never 
Queueing strategy: fifo 
Output queue 0/40, 0 drops; input queue 0/75, 0 drops 
5 minute input rate 0 bits/sec, 0 packets/sec 
5 minute output rate 0 bits/sec, 0 packets/sec 
0 packets input, 0 bytes, 0 no buffer 
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 
input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 
abort 
packets output, 0 bytes, 0 underruns 
output errors, 0 collisions, 16 interface resets 
output buffer failures, 0 output buffers swapped out 
carrier transitions 
DCD=down DSR=down DTR=down RTS=down CTS=down 


OOOOoono 
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要 重 置 接 口 的 计数 器 ， 我 们 可 使 用 命令 clear counters : 


Router#clear counters ? 


Async Async interface 

BVI Bridge-Group Virtual Interface 
CTunnel CTunnel interface 

Dialer Dialer interface 

FastEthernet FastEthernet IEEE 802.3 
Group-Async Async Group interface 

Line Terminal line 

Loopback Loopback interface 

MFR Multilink Frame Relay bundle interface 
Multilink Multilink-group interface 

Nul11] Null interface 

Serial Serial 

Tunnel Tunnel interface 

Vif PGM Multicast Host interface 


Virtual-Template Virtual Template interface 
Virtual-TokenRing Virtual TokenRing 
<cr> 


Router#clear counters s0/0/0 
Clear "show interface" counters on this interface 
[confirm] [enter] 
Router# 
00:17:35: %CLEAR-5-COUNTERS: Clear counter on interface 
Serial0/0/0 by console 
Router# 
2. 使 用 命令 show ip interface 进行 验证 
命令 show ip interface 显示 路 由 器 接口 的 第 三 层 配 置信 息 : 
Router#sh ip interface 
FastEthernet0/0 is up, line protocol is up 
Internet address is 1.1.1.1/24 
Broadcast address is 255.255.255.255 
Address determined by setup command 
MTU is 1500 bytes 
Helper address is not set 
Directed broadcast forwarding is disabled 
Outgoing access list is not set 
Inbound access list is not set 
Proxy ARP is enabled 
Security level is default 


Split horizon is enabled 
[output cut] 


上 述 输出 包含 如 下 信息 : 接口 的 状态 、 接口 的 全 地 址 和 子 网 掩 码 、 在 接口 上 是 否 设置 了 访问 列表 


以 及 基本 的 全 信息 。 
3. 使 用 命令 show ip interface brief 


我 们 可 在 思科 路 由 器 中 使 用 的 命令 中 ，show ip interface brief 可 能 是 非常 有 用 的 一 个 。 它 


提供 路 由 器 接口 的 摘要 信息 ， 包 括 逻 辑 地 址 和 状态 : 


Router#sh ip int brief 
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Interface IP-Address OK? Method Status Protocol 
FastEthernet0/0 unassigned YES unset up up 
FastEthernetO/1 unassigned YES unset up up 

Serial0/0/0 unassigned YES unset up down 

Serial0/0/1 unassigned YES unset administratively down down 
Serialt0/1/0 unassigned YES unset administratively down down 
Serial0/2/0 unassigned YES unset administratively down down 


别 忘 了 ， 管 理性 关闭 意味 着 需要 给 接口 配置 命令 
up/down, 这 意味 着 物理 层 正常 且 检 测 到 了 载波 , 但 未 收 到 来 自 远程 端的 存活 消息 。 在 非 生产 网 络 ( 如 
我 在 这 里 使 用 的 网 络 ) 中 ， 我 们 没有 设置 时 钟 频率 。 


4. 使 用 命令 show protoco1s 进行 验证 


no shutdown。 注 意 ，Serial0/0/0 的 状态 为 


命令 show protocols 很 有 用 ， 我 可 使 用 它 快速 了 解 每 个 接口 的 第 1 层 和 第 2 层 的 状态 以 及 它 使 


用 的 耳 地址 。 


下 面 是 我 在 一 台 路 由 器 上 执行 该 命令 得 到 的 输出 : 


Router#sh protocols 
Global values: 
Internet Protocol routing is enabled 


Ethernet0/0 is administratively down, line protoco1 is down 


Serial0/0 is up, line protocol is up 
Internet address is 100.30.31.5/24 


Serial0/1 is administratively down, line protocol is down 


Serial0/2 is up, line protocol is up 
Internet address is 100.50.31.2/24 
Loopback0 is up, line protocol is up 
Internet address is 100.20.31.1/24 
5. 使 用 命令 show controllers 


命令 show controilers 显示 有 关 物 理 接口 本 身 的 信息 。 它 还 指出 了 串 行 端口 连接 的 串 行 电缆 的 
类 型 ， 这 通常 是 与 DSU ( Data Service Unit， 数 据 服务 单元 ) 相连 的 DTE 电缆 。 


Router#sh controllers serial 0/0 


HD unit 0, idb = 0x1229E4，driver structure at 0x127E70 
buffer size 1524 HD unit 0, V.35 DTE cable 
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Router#sh controllers serial 0/1 

HD unit 1, idb = Ox12C174, driver structure at 0x131600 

buffer size 1524 HD unit 1, V.35 DCE cable 

注意 ,接口 Serial 0/0 连接 的 是 DTE 电缆 ， 而 接口 Serial 0/1 连接 的 是 DCE 电缆 。 因 此 ，Serial 0/1 
必须 使 用 命令 clock rate 提供 时 钟 频率 ， 而 接口 Serial 0/0 将 从 DSU 那里 获悉 时 钟 频率 。 

在 图 6-6 中 ,我 们 使 用 DTE/DCE 电缆 连接 了 两 台 路 由 器 ， 而 在 生产 网 络 中 ， 我们 不 会 这 样 做 。 


图 6-6 命令 show controllers 


路 由 器 R1 连接 的 是 DTE 电缆 , 默认 情况 下 , 所 有 思科 路 由 器 都 如 此 。 路 由 器 R1 和 R2 不 能 通信 。 
下 面 是 命令 show controllers s0/0 的 输出 : 

R1#sh controllers serial 0/0 

HD unit 0, idb = Ox1229E4, driver structure at 0x127E70 

buffer size 1524 HD unit 0, V.35 DCE cable 


命令 show controllers s0/0 指出 该 接口 为 V35 DCE， 这 意味 着 R1 需要 向 路 由 器 R2 提供 线 
路 的 时 钟 频率 。 这 表明 R1 路 由 器 的 串 行 接口 没有 连接 到 正确 的 电缆 端 ， 但 如 果 在 该 接口 上 设置 时 钟 
频率 ， 网 络 将 正常 。 

再 来 看 一 个 可 使 用 命令 show controllers 解决 的 问题 ， 如 图 6-7 所 示 。 同 样 ， 这 里 的 问题 是 R1 和 
R2 不 能 相互 通信 。 


R1 R2 
了 
"6 
S0/0 


图 6-7 结合 使 用 命令 show controllers 和 show ip interface 


下 面 是 在 路 由 器 R1 上 执行 命令 show controllers s0/0 和 show ip interface s0/0 得 到 的 
输出 : 

R1#sh controllers s0/0 

HD unit 0, idb = Ox1229E4, driver structure at 0x127E70 

buffer size 1524 HD unit 0， 

DTE V.35 clocks stopped 

cpb = OxE2, eda = 0x4140, cda = 0x4000 


Ri#sh ip interface s0/0 


Serial0/0 is up, line protocol is down 
Internet address is 192.168.10.2/24 
Broadcast address is 255.255.255.255 
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命令 show controllers 的 输出 表明 ，R1 没有 收 到 线路 的 时 钟 频率 。 这 是 一 个 非 生产 网 络 ， 没 
有 连接 用 于 提供 线路 时 钟 频率 的 CSU/DSU, 这 意味 着 电缆 的 DCE 端 ( 这 里 为 路 由 器 R2 ) 将 提供 时 钟 
频率 。 命 令 show ip interface 的 输出 表明 接口 处 于 up 状态 ,但 协议 处 于 down 状态 ， 这 意味 着 未 
收 到 来 自 远程 端的 存活 消息 。 在 这 个 例子 中 ， 罪 魁 祸首 很 可 能 是 电缆 问题 或 没有 设置 时 钟 频率 。 


6.6 小结 


这 一 章 很 有 趣 ! 我 介绍 了 大 量 有 关 思 科 IOS 的 知识 ， 但 愿 你 对 思科 路 由 器 有 了 深入 认识 。 本 章 首 
先 阐述 了 思科 网 络 互联 操作 系统 ( IOS ) 以 及 如 何 使 用 IOS 运行 和 配置 思科 路 由 器 。 你 学 习 了 如 何 启 
动 路 由 器 以 及 设置 模式 是 什么 。 顺 便 说 一 句 ， 你 现在 基本 上 能 够 配置 思科 路 由 器 了 ， 因 此 应 该 不 需要 
使 用 设置 模式 。 

讨论 如 何 使 用 控制 台 和 LAN 链 路 连接 路 由 器 后 ， 我 介绍 了 思科 帮助 功能 以 及 如 何 使 用 CLI 查找 
命令 和 命令 参数 。 另 外 ， 我 还 介绍 了 一 些 基本 的 show 命令 ， 以 帮助 你 验证 配置 。 

路 由 器 的 管理 功能 可 帮助 你 管理 网 络 以 及 确保 配置 的 是 正确 的 设备 。 设置 路 由 器 密码 是 你 可 在 路 
由 器 上 设置 的 重要 配置 之 一 ， 我 介绍 了 可 设置 的 5 种 密码 。 另 外 ， 我 们 还 可 使 用 主机 和 名、 接口 描述 和 
旗 标 帮助 管理 路 由 器 。 

对 思科 IOS 就 介绍 到 这 里 。 与 往常 一 样 ， 阅 读 后 续 各 章 前 ， 你 必须 掌握 本 章 介 绍 的 基本 知识 。 


6.7 考试 要 点 


描述 IOS 的 职责 。 思科 路 由 器 IOS 软件 负责 : 运行 网 络 协议 和 提供 功能 ; 在 设备 之 间 高 速 传输 数 
据 ; 控制 访问 和 禁止 未 经 授权 的 网 络 使 用 ， 从 而 提高 安全 性 ; 提供 可 扩展 性 ( 以 方便 网 络 扩容 ) 和 元 
余 性 ; 提供 连接 网 络 资源 的 可 靠 性 。 

列 出 连接 到 思科 设备 以 便 对 其 进行 管理 的 方式 。 有 3 种 连接 方式 ， 分 别 是 使 用 控制 台 端 口 、 辅 助 
端口 和 Telnet。 仅 当 配置 了 IP 地 址 以 及 Telinet 用 户 名 和 密码 后 ， 我 们 才能 通过 Telnet 连接 到 路 由 器 。 

理解 路 由 器 的 启动 过 程 。 启 动 思 科 路 由 器 时 ， 它 将 经 历 加 电 自 检 (POST )。 通 过 加 电 自 检 后 ， 它 
将 在 闪存 中 查找 思科 IOS， 并 在 找到 IOS 文件 时 将 它 加 载 。IOS 加 载 后 ， 它 将 在 NVRAM 中 寻找 有 效 
配置 (启动 配置 )， 如果 NVRAM 中 没有 这 种 文件 ， 路 由 器 将 进入 设置 模式 。 

描述 设置 模式 的 用 途 。 如 果 路 由 器 启动 时 NVRAM 中 没有 启动 配置 , 将 自动 进入 设置 模式 。 我 们 
还 可 在 特权 模式 下 执行 命令 setup 以 进入 设置 模式 。 对 于 不 知道 如 何 使 用 命令 行 界面 配置 思科 路 由 器 
的 人 ,设置 模式 让 他 能 够 轻松 地 完成 基本 配置 。 

从 外 观 和 可 执行 的 命令 等 角度 区 分 用 户 模式 、 特 权 模 式 和 全 局 配置 模式 。 用 户 模式 的 提示 符 为 
routername>， 默 认 提 供 了 一 个 可 执行 少量 命令 的 命令 行 界面 。 在 用 户 模式 下 ， 我 们 不 能 查看 或 修改 
配置 。 特 权 模 式 的 提示 符 为 routername#， 让 用 户 能 够 查看 和 修改 路 由 器 的 配置 。 要 进入 特权 模式 ， 
我 们 可 执行 命令 enable， 并 输入 启用 密码 或 启用 加 密 密 码 ( 如 果 已 设置 )。 全 局 配置 模式 的 提示 符 为 
routername(config)#， 让 用 户 能 够 修改 应 用 于 整 台 路 由 器 的 配置 ( 而 不 是 只 影响 某 个 接口 的 配置 )。 

指出 其 他 配置 模式 的 提示 符 和 用 途 。 其 他 配置 模式 是 在 全 局 配置 模式 提示 符 routername 
Cconfig)# 下 进 和 的， 包括 : 接口 配置 模式 ， 用 于 设置 接口 ， 其 提示 符 为 router (config-if)#; 子 
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接口 配置 模式 ， 在 必须 对 物理 接口 进行 划分 时 使 用 ， 其 提示 符 为 router(Cconfig-subif)#; 线路 配 
置 模 式 ， 用 于 配置 各 种 连接 方式 的 密码 和 其 他 设置 ， 其 提示 符 为 router(config-1ine)#; 路 由 选择 
协议 配置 模式 ， 用 于 启用 和 配置 路 由 选择 协议 ， 其 提示 符 为 router(config-router])#。 

使 用 编辑 和 帮助 功能 。 要 获取 命令 用 法 方面 的 帮助 ， 可 在 命令 末尾 输入 问号 。 另 外 ， 要 限定 显示 
的 命令 帮助 信息 ， 可 使 用 问号 和 字母 。 我 们 可 使 用 命令 历史 记录 获取 以 前 使 用 过 的 命令 ， 以 免 重 新 输 
入 。 命 令 被 拒绝 时 ， 脱 字符 指出 了 不 正确 的 地 方 。 最 后 ， 请 牢记 有 用 的 热 键 组 合 。 

指出 命令 show version 提供 的 信息 。 命 令 show version 提供 系统 硬件 的 基本 配置 信息 、 软 件 
版 本 、 配 置 文件 的 名 称 和 存储 位 置 、 配 置 寄存 器 设置 以 及 启动 映像 。 

设置 路 由 器 的 主机 名 。 要 设置 路 由 器 的 主机 名 ， 可 依次 使 用 下 述 命令 : 

enable 

config t 

hostname Todd 

描述 启用 密码 和 启用 加 密 密 码 的 区 别 。 这 两 种 密码 都 用 于 进入 特权 模式 ， 但 启用 加 密 密 码 较 新 ， 
默认 总 被 加 密 。 另 外 ， 如 果 设 置 启用 密码 后 再 设置 启用 加 密 密 码 ， 将 只 使 用 启用 加 密 密 码 。 

描述 旗 标 的 配置 和 用 途 。 旗 标 向 访问 设备 的 用 户 提供 信息 ， 可 在 各 种 登录 提示 画面 中 显示 。 它 们 
是 使 用 命令 banner 配置 的 ， 并 使 用 一 个 关键 字 描 述 族 标的 类 型 。 

在 路 由 器 上 设置 启用 加 密 密 码 。 要 设置 启用 加 密 密 码 , 我 们 可 使 用 全 局 配置 命令 enable secret。 
请 不 要 使 用 enable secret password password， 否 则 将 把 启用 加 密 密 码 设置 为 password 
password。 下面 是 一 个 设置 启用 加 密 密 码 的 例子 : 

enable 

config t 

enable secret todd 

在 路 由 器 上 设置 控制 台 密码 。 要 设置 控制 台 密码 ， 我 们 可 依次 使 用 如 下 命令 : 

enable 

config t 

line console 0 

password todd 

login 

在 路 由 器 上 设置 Telnet 密码 。 要 设置 Telnet 密码， 我 们 可 依次 使 用 如 下 命令 : 

enable 

config t 

line vty 0 4 

password todd 

login 

描述 使 用 SSH 的 优点 并 列 出 其 需求 。 安 全 外 壳 (SSH ) 使 用 加 密 密 钥 发 送 数 据 ， 这样 用 户 名 和 密 
码 将 不 会 以 明文 形式 发 送 。 它 要 求 配置 主机 名 和 域名 并 生成 加 密 密 钥 。 | 

描述 为 使 用 接口 做 准备 的 过 程 。 要 使 用 接口 ,必须 给 它 配 置 瑟 地 址 和 子 网 掩 码 , 还 必须 使 用 命令 
no shutdown 启用 它 。 如 果 串 行 接口 以 背 对 缘 方 式 连接 到 另 一 个 路 由 器 的 串 行 接口 ， 且 位 于 串 行 电线 
的 DCE 端 ， 我 们 还 必须 给 它 配置 时 钟 频率 。 
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理解 如 何 排除 串 行 链 路 故障 。 如 果 执 行 命令 show interface serial 0 时 ， 看 到 down, 1ine 
protocol is down， 则 说 明 物 理 层 出 现 了 问题 ; 如 果 看 到 的 是 up，1ine. protocol is down， 则 说 
明 数 据 链 路 层 出 现 了 问题 。 

理解 如 何 使 用 命令 show interfaces 验证 路 由 器 。 使 用 命令 show interfaces 可 查看 路 由 器 接 
口 的 统计 信息 、 验 证 接口 是 否 被 禁用 以 及 获悉 每 个 接口 的 卫 地 址 。 

描述 如 何 查看 、 编 辑 、 删 除 和 保存 配置 。 要 查看 路 由 器 当前 使 用 的 配置 ， 我 们 可 使 用 命令 show 
running-config; 要 查看 最 后 保存 的 配置 ( 路 由 器 下 次 启动 时 将 使 用 它 )， 我 们 可 使 用 命令 show 
startup-config; 要 将 对 运行 配置 所 做 的 修改 保存 到 NVRAM 中 ,我 们 可 使 用 命令 copy 
running-config startup-config; 要 删除 保存 的 配置 ， 我 们 可 使 用 命令 erase startup-config， 
这 将 导致 路 由 器 重启 时 进入 设置 模式 ， 因 为 没有 配置 可 用 。 


6.8 书面 实验 6 


回答 下 述 问题 ， 并 写 出 所 需 的 命令 。 

(1) 要 设置 串 行 接口 ， 使 其 将 时 钟 频率 64 Kbit/s 提供 给 另 一 台 路 由 器 ， 可 使 用 什么 命令 ? 

(2) 如 果 你 远程 登录 一 台 路 由 器 时 收 到 响应 connection refused，password not set， 为 避免 
收 到 这 种 消息 ， 且 不 被 提示 提供 密码 ， 应 在 目标 路 由 器 上 执行 什么 命令 ? 

(3) 如 果 执 行 命令 show inter enthernet 0 时 发 现 该 端口 被 管理 性 关闭 ， 你 将 执行 什么 命令 来 
启用 该 接口 ? 

(4) 要 删除 NVRAM 中 的 配置 ， 应 执行 哪些 命令 ? 

(5) 要 将 经 控制 台 端 口 进入 用 户 模式 的 密码 设置 为 todd， 应 执行 哪些 命令 ? 

(6) 要 将 启用 加 密 密 码 设置 为 cigco， 应 执行 哪些 命令 ? 

(7) 要 判断 接口 Serial 0/2 是 否 应 提供 时 钟 频率 ， 可 使 用 什么 命令 ? 

(8) 要 查看 命令 历史 记录 的 大 小 ， 可 使 用 什么 命令 ? 

(9) 你 要 重启 路 由 器 并 用 当前 的 启动 配置 替换 运行 配置 ， 应 使 用 什么 命令 ? 

(10) 如 何 将 路 由 器 名 称 设置 为 Chicago? 

(答案 见 本 章 复 习题 答案 的 后 面 。) 


6.9 动手 实验 


在 本 节 中 ， 你 将 在 思科 路 由 器 上 执行 一 些 命 令 ， 以 理解 本 章 介绍 的 内 容 。 

你 至 少 需 要 一 台 思科 路 由 器 一 一 两 台 更 好 ， 三 台 就 太 棱 了 。 本 节 的 动手 实验 应 在 思科 路 由 器 上 完 
成 , 但 也 可 使 用 路 由 器 模拟 器 Cisco Packet Tracer 完成 。 就 CCNA 而 言 ， 使 用 什么 样 的 路 由 器 完成 这 
些 实验 无 关 紧 要 ， 也 就 是 说 ， 我 们 可 使 用 2$00、2600、800、1800 或 2800 路 由 器 。 

这 里 假设 你 使 用 的 路 由 器 没有 配置 。 如 果 必 要 ， 首 先 完成 动手 实验 6.1， 将 现 有 配置 删除 ， 否 则 
直接 进入 动手 实验 6.2。 

动手 实验 6.1: 删除 现 有 配置 。 

动手 实验 6.2: 探索 用 户 模 式 、 特 权 模 式 和 各 种 配置 模式 。 
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动手 实验 6.3: 使 用 帮助 和 编辑 功能 。 

动手 实验 6.4: 保存 路 由 器 配置 。 

动手 实验 6.5: 设置 密码 。 

动手 实验 6.6: 设置 主机 名 、 描 述 、IP 地 址 和 时 钟 频率 。 


6.9.1 动手 实验 6.1， 删除 现 有 配置 


在 这 个 实验 中 ， 可 能 需要 知道 用 户 名 和 和 密码， 以便 进入 特权 模式 。 如 果 路 由 器 有 配置 ， 而 你 不 知 
道 其 中 设置 的 用 于 进入 特权 模式 的 用 户 名 和 密码 ,将 无 法 完成 这 里 指定 的 操作 。 若 没有 进入 特权 模式 
的 密码 ， 你 也 能 删除 配置 ， 但 确切 的 步 又 随 路 由 器 型 号 而 异 ， 并 将 在 第 7 章 介绍 。 

(1) 启动 路 由 器 ， 看 到 提示 时 按 回 车 键 。 

(2) 在 提示 符 Routername> 下 输入 enable。 

(3) 在 系统 提示 时 输入 用 户 名 并 按 回 车 ， 再 输入 正确 的 密码 并 按 回 车 。 

(4) 在 特权 模式 提示 符 下 ,输入 erase startup-config。 

(5) 在 特权 模式 提示 符 下 ,输入 reload， 在 系统 提示 是 否 要 保存 配置 时 输入 n， 这 表示 不 保存 。 


6.9.2 ”动手 实验 6.2: 探索 用 户 模式 、 特 权 模 式 和 各 种 配置 模式 


(1) 启动 路 由 器 。 如 果 你 刚 完成 动手 实验 6.1 将 配置 删除 了 , 在 系统 提示 是 否 继续 进行 配置 对 话 时 ， 
输入 n (表示 不 )， 再 按 回 车 键 。 看 到 提示 时 ， 请 按 回 车 以 连接 路 由 器 。 这 时 将 进入 用 户 模 式 。 

(2) 在 提示 符 Router> 下 输入 问号 (? )。 

(3) 注意 屏幕 底部 有 -more-。 

(4) 按 回 车 键 逐 行 查看 命令 ; 按 空格 键 以 每 次 一 屏 的 方式 查看 命令 。 我 们 可 随时 按 q 退出 。 

(5) 输入 enable 或 en 并 按 回 车 键 。 这 时 将 切换 到 特权 模式 ， 让 你 能 够 查看 和 修改 路 由 器 
配置 。 

(6) 在 提示 符 Router# 下 输入 问号 (? )， 注 意 在 特权 模式 下 有 多 少 可 供 执行 的 命令 。 

(7) 输入 q 退出。 

(8) 输入 config 并 按 回 车 键 。 

(9) 提示 选择 方法 时 ， 按 回 车 键 ， 以 便 使 用 终端 来 配置 路 由 器 (这 是 默认 方法 )。 

(10) 在 提示 符 Router(Cconfig)# 下 ， 输 入 问号 (? )， 再 按 q 退出 或 按 空格 键 查看 命令 。 

(1D 输入 interfac e0、int e0 或 int fa0/0 并 按 回 车 键 ， 这 让 你 能 够 配置 接口 Ethernet 0。 

(12) 在 提示 符 Router (config-if)# 下 输入 问号 (? )。 

(13) 输入 int s0 (int s0/0) 或 interface s0 (等 价 于 命令 interface serial 0 ) 并 按 回 车 
键 ， 这 将 证 你 能 够 配置 接口 Serial 0。 注 意 ， 你 可 轻松 地 从 一 个 接口 切换 到 另 一 个 接口 。 

(14) 输入 encapsulation ?7。 - 

(15) 输入 exit， 注 意 这 将 返回 到 上 一 级 。 

(16) 按 Ctrl + Z， 这 时 将 退出 配置 模式 并 返回 特权 模式 。 

(17) 输入 disable， 这 时 将 返回 用 户 模式 。 

(18) 输入 exit， 这 时 将 从 路 由 器 注销 。 
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6.9.3 ”动手 实验 6.3: 使 用 帮助 和 编辑 功能 


(1) 登录 路 由 器 ， 并 执行 命令 en 或 enable 进入 特权 模式 。 

(2) 输入 问号 (? )。 

(3) 输入 c1? 并 按 回 车 ， 注 意 这 时 将 列 出 所 有 以 c7 打头 的 命令 。 
(4) 输入 clock? 并 按 回 车 键 。 


RN 


请 注意 第 (3) 步 和 第 (4) 步 的 差别 。 第 (3) 步 让 你 输入 字母 和 问号 ， 且 它们 之 间 没 有 
空格 ， 这 将 列 出 所 有 以 cf 打头 的 命令 。 第 (4) 步 让 你 输入 命令 、 空 格 和 问号 ， 这 将 列 
出 下 一 个 可 用 的 参数 。 


注意 


(5) 输 入 clock ?, 并 根据 帮助 屏幕 设置 路 由 器 的 日 期 和 时 间 。 下 面 的 步骤 引导 你 设置 日 期 和 时 间 。 

(6) 输入 clock?。 

(7) 输入 clock set ?。 

(8) 输入 clock set 10:30:30 ? 。 

(9) 输入 clock set 10:30:30 14 May ?。 

(10) 输入 clock set 10:30:30 14 March 2011。 

(11) 按 回 车 键 。 

(12) 输入 show clock 以 查看 日 期 和 时 间 。 

(13) 在 特权 模式 下 ,输入 show access-1ist 10， 但 不 要 按 回 车 键 。 

(14) 按 Ctrl +A 将 光标 移 到 行 首 。 

(15) 按 Ctrl + 卫 将 光标 移 到 行 尾 。 

(16) 按 Ctrl +A 再 次 将 光标 移 到 行 首 ， 再 按 Ctrl + 了 将 光标 向 右 移 一 个 字符 。 

(17) 按 Ctrl+ 了 将 光标 向 左 移 一 个 字符 。 

(18) 按 回 车 键 ， 再 按 Ctrl +P， 这 将 重新 显示 上 一 个 命令 。 

(19) 按 上 箭头 键 ， 这 也 将 重新 显示 上 一 个 命令 。 

(20) 输入 sh history， 这 将 显示 最 后 输入 的 10 个 命令 。 

(21) 输入 terminal history size?。 这 将 修改 历史 记录 缓冲 区 大 小 ，? 是 存储 的 命令 数 。 

(22) 输入 show terminal 以 收集 终端 统计 信息 和 历史 记录 缓冲 区 大 小 。 

(23) 输入 terminal no editing， 这 将 禁用 高 级 编辑 功能 。 重 复 第 (14)~(18) 步 ， 你 将 发 现 这 些 
编辑 快捷 键 不 管用 ， 直 到 执行 命令 terminal editing。 

(24) 输入 terminal editing 并 按 回 车 键 ， 以 重新 启用 高 级 编辑 功能 。 

(25) 输入 sh run 并 按 Tab 键 ， 这 将 自动 完成 命令 输入 。 

(26) 输入 sh start 并 按 Tab 键 ， 这 将 自动 完成 命令 输入 。 


6.9.4 ”动手 实验 6.4: 保存 路 由 器 配置 
(1) 登录 路 由 器 ， 输 入 命令 en 或 enable 并 按 回 车 键 以 进入 特权 模式 。 


192 第 6 章 ， 思科 互联 网 络 操作 系统 (IOS ) 


(2) 为 查看 存储 在 NVRAM 中 的 配置 ， 输 入 sh start 并 依次 按 Tab 键 和 回 车 键 ， 也 可 输入 show 
startup-config 并 按 回 车 键 。 然 而 ， 如 果 没 有 保存 配置 ， 你 将 看 到 一 条 错误 消息 。 

(3) 为 将 配置 保存 到 NVRAM 中 (结果 为 启动 配置 )， 执 行 下 述 操作 之 一 : 

口 输入 copy run start 并 按 回 车 键 ; 

口 输入 copy running、 按 Tab 键 、 输 入 start、 按 Tab 键 、 按 回 车 键 ; 

口 输 入 copy running-config startup-config 并 按 回 车 键 。 

(4) 输入 sh start 并 依次 按 Tab 键 和 回 车 键 。 

(5) 输入 sh run 并 依次 按 Tab 键 和 回 车 键 。 

(6) 输入 erase start 并 依次 按 Tab 键 和 回 车 键 。 

(7) 输 入 sh start 并 依次 按 Tab 键 和 回 车 键 ,路 由 器 将 告诉 你 NVRAM 中 没有 配置 或 显示 其 他 类 
型 的 消息 ， 这 取决 于 IOS 和 硬件 。 

(8) 输入 reload 并 按 回 车 键 。 按 回 车 键 确认 要 重启 ， 并 等 待 路 由 器 重启 。 

(9) 选择 n 不 进入 设置 模式 ， 也 可 按 Ctrl + C。 


6.9.5 动手 实验 6.5: 设置 密码 


(1) 登录 路 由 器， 输入 en 或 enable 以 进入 特权 模式 。 

(2) 输入 config t 并 按 回 车 键 。 

(3) 输入 enable ?。 

(4) 输入 enable secret password ( 其 中 password 为 要 设置 的 密码 ) 并 按 回 车 键 ， 以 设置 启 
用 加 密 密 码 。 不 要 在 参数 secret 后 面 添加 参数 password， 否 则 密码 将 为 password。 一 个 设置 启用 
加 密 密 码 的 示例 是 enable secret todd。 

(5) 现在 来 看 看 从 路 由 器 注销 再 登录 时 发 生 的 情况 。 按 Ctrl + Z 注销 ， 再 输入 exit 并 按 回 车 键 。 
尝试 进 和 特权 模 式 ， 但 切换 到 特权 模式 前 ， 你 要 提供 密码 。 如 果 你 输入 了 正确 的 特权 加 密 密 码 ， 将 切 
换 到 特权 模式 。 

(6) 删除 启用 加 密 密 码 。 为 此 ， 进 入 特权 模式 ， 输 入 config t 并 按 回 车 键 ， 再 输入 no _ enable 
secret 并 按 回 车 键 。 注 销 后 再 登录 ， 现 在 应 该 不 会 询问 你 密码 了 。 

(7) 另 一 个 用 于 进入 特权 模式 的 密码 是 启用 密码 。 这 是 一 种 更 老 的 密码 ， 不 那么 安全 ， 如 果 设 置 
了 启用 加 密 密 码 ， 则 不 会 使 用 它 。 下 面 的 示例 演示 了 如 何 设置 启用 密码 : 

config t 

enable password todd1 

(8) 注意 ， 启 用 密码 和 启用 加 密 密 码 不 同 。 它 们 不 能 相同 。 

(9) 输入 config t 以 进入 设置 控制 台 密 码 和 辅助 端口 密码 的 模式 ， 再 输入 1ine ?。 

(10) 注意 ， 命 令 1ine 的 参数 为 auxi1iary、vty 和 console， 下 面 设置 这 3 种 密码 。 

(11) 要 设置 Telnet (VTY ) 密码 , 输入 1ine vty 0 4 并 按 回 车 键 。0 4 指定 了 5 条 可 用 于 Telnet 
连接 的 线路 ， 如 果 使 用 的 是 企业 版 IOS， 线 路 数 可 能 不 同 。 要 确定 路 由 器 上 最 后 一 条 线路 的 编号 ， 我 
们 可 使 用 问号 。 

(12) 接 下 来 需要 启用 /禁用 身份 验证 。 输 入 1ogin 并 按 回 车 键 ， 这 样 用 户 远程 登录 路 由 器 时 ， 将 
被 要 求 提供 用 户 模 式 密码 。 在 这 种 情况 下 ， 如 果 没 有 设置 密码 ， 你 将 无 法 远程 登录 路 由 器 。 
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要 在 用 户 远程 登录 路 由 器 时 ， 不 提示 他 提供 用 户 模式 密码 ， 可 使 用 命令 no 
login。 


(13) 要 设置 VTY 密码 ， 接 下 来 需要 使 用 的 命令 是 password。 输 入 password password 以 设置 
密码 ( 其 中 第 二 个 password 为 密码 )。 

(14) 下 面 的 示例 演示 了 如 何 设 置 VTY 密码 : 

config t 

line vty 0 4 

login 

password todd 

(15) 为 设置 辅助 端口 密码 ， 首 先 输入 1ine auxiliary 0 或 1ine aux 0。 

(16) 输入 10gin。 

(17) 输入 password password。 

(18) 为 设置 控制 台 密码 ， 首 先 输入 1ine console 0 或 1ine con 0。 

(19) 输入 1ogin。 

(20) 输入 password passnword。 下 面 的 示例 演示 了 如 何 设置 控 制 台 密码 和 辅助 端口 密码 : 

config t 

line con 0 

login 

password toddl 

line aux 0 

login 

password todd 

(21) 配置 控制 台 端 口 时 ， 我 们 还 可 执行 命令 exec-timeout 0 0， 这 将 禁止 控制 台 端 口 超时 ， 进 
而 避免 因此 将 你 注销 。 在 这 种 情况 下 ， 命 令 序列 如 下 : 

config 七 

line con 0 

1ogin 

password todd2 

exec-timeout 0 0 

(22) 为 避免 控制 台 消息 覆盖 正在 输入 的 命令 ， 你 可 使 用 命令 1ogging synchronous: 

Config 七 

line con 0 

logging synchronous 


6.9.6 ”动手 实验 6.6: 设置 主机 名 、 描 述 、IP 地 址 和 时 钟 频率 
(1) 登录 路 由 器 ， 输 入 en 或 enable 以 进入 特权 模式 ， 必 要 时 输入 用 户 名 和 密码 。 
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(2) 使 用 命令 hostname 设置 路 由 器 的 主机 名 。 注意 ,主机 名 只 能 包含 一 个 单词 , 下面 是 一 个 设置 
主机 名 的 例子 : 
Router#config t 
RouterCconfig)#hostname RouterA 
RouterACconfig)# 
注意 ， 按 回 车 键 后 ， 提 示 符 中 的 主机 名 便 变 了 。 
(3) 使 用 命令 banner 设置 一 个 网 络 管理 员 将 看 到 的 旗 标 ， 具 体 的 步骤 如 下 。 
(4) 输入 config t， 再 输入 banner ?。 
(5) 注意 , 你 至 少 可 以 设置 4 种 不 同 的 旗 标 。 在 这 个 实验 中 , 我 们 只 设置 登录 旗 标 和 MOTD 旗 标 。 
(6) 输入 如 下 命令 ,设置 MOTD 旗 标 。 通 过 控制 台 端口 、 辅 助 端口 或 Telnet 连接 到 路 由 器 时 ， 都 
将 显示 该 旗 标 。 
Config 七 
banner motd # 
This is an motd banner 
# 
(7) 在 上 述 示例 中 ， 我 们 将 # 用 作 分 隔 字符 ， 这 告诉 路 由 器 消息 到 哪里 结束 。 在 消息 中 ， 我 们 不 能 
使 用 分 隔 字符 。 
(8) 为 删除 MOTD 旗 标 ， 我 们 使 用 如 下 命令 : 
config 七 
no banner motd 
(9) 输入 如 下 命令 以 设置 登录 旗 标 : 
config 七 
banner login # 
This is a login banner 
# 
(10) 登录 旗 标 在 MOTD 旗 标 后 显示 ,但 在 提示 输入 用 户 模式 密码 前 显示 。 要 设置 用 户 模式 密码 ， 
我 们 可 设置 控制 台 密码 、 辅 助 端口 密码 和 VTY 线路 密码 。 
(11) 要 删除 登录 旗 标 ， 我 们 可 输入 如 下 命令 : 
config 七 
no _ banner login 
(12) 要 给 接口 配置 IP 地址， 我 们 可 使 用 命令 ip address， 这 要 求 你 进入 接口 配置 模式 。 下 面 的 
示例 演示 了 如 何 给 接口 配置 人 地址 : 
config t 
int e0 (you can use int Ethernet 0 too) 
ip address 1.1.1.1 255.255.0.0 
no shutdown 
注意 ,我 们 在 同一 行 指 定 了 IP 地 址 (1.1.1.1 ) 和 子 网 掩 码 (255.255.0.0 )。 命 令 no shutdown ( 简 
写 为 no shut ) 用 于 启用 接口 。 默 认 情 况 下 ， 所 有 接口 都 被 禁用 。 
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(13) 我 们 可 使 用 命令 description 给 接口 配置 描述 , 这 可 用 于 添加 有 关连 接 的 信息 , 如 下 例 所 示 : 
config t 

int S0 

ip address 2.2.2.1 255.255.0.0 

no shut 

description Wan link to Miami . 

(14) 我 们 可 给 串 行 链 路 配置 带宽 ， 还 可 配置 时 钟 频率 以 模拟 DCE WAN 链 路 ， 如 下 例 所 示 : 
config 七 

int s0 

bandwidth 64 

clock rate 64000 


6.10 复习 题 


注意 下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
信息 ， 请 参阅 本 书 的 前 言 。 


(1) 当 你 输入 show _ running-config 时 ， 得 到 了 如 下 输出 : 
[output cut] 
line console 0 
Exec-timeout 1 44 
Password 7 098COBQR 
Login 
[output cut] 
请 问 命令 exec-timeout 后 面 的 两 个 数字 是 什么 意思 ? 
A. 如 果 44 秒 内 没有 输入 命令 ， 控 制 台 连 接 将 关闭 
B. 如 果 在 1 小 时 44 分 钟 内 没有 检测 到 路 由 器 活动 ， 控 制 台 将 被 锁定 
C. 如 果 在 1 分 44 秒 内 没有 输入 命令 ， 控 制 台 连 接 将 关闭 
D. 如 果 你 通过 Telnet 连接 到 该 路 由 器 ， 必 须 在 1 分 44 秒 内 检测 到 输入 ， 否 则 该 连接 将 关闭 
(2) 下 面 哪 种 连接 路 由 器 的 方式 是 带 外 方式 ? 


A. 串 行 接口 B. VTY 端口 C. HTTP 端口 D. 辅助 端口 
(3) 在 路 由 器 上 配置 SSH 时 ， 必 须 执行 下 面 哪 两 个 命令 ? 
A. enable secret password B.exec-timeout 0 0 


C.ip domain-name name 
E. ip ssh version 2 
(4) 下 面 哪个 命令 指出 接口 serial 0 连接 的 是 DTE 电缆 还 是 DCE 电缆? 
A.sh int s0 B. sh int serial 0 
C. Show controllers 5 0 D. show serial 0 controllers 


(5) 下 面 哪 项 是 思科 路 由 器 上 正确 的 文件 和 默认 存储 位 置 组 合 ? 
A. IOS/INVRAM B. 启动 配置 /闪存 C. IOS/ 闪 存 D. 运行 配置 /NVRAM 


D. username name password password 
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(9) 你 设置 了 控制 台 密码 ， 但 显示 配置 时 没有 显示 该 密码 ， 而 类 似 于 下 面 这 样 : 
[output cut] 
Line console 0 
Exec-timeout 1 44 
Password 7 098COBQR 
Login 
[output cut] 


请 问 哪 个 命令 导致 该 密码 以 这 样 的 方式 存储 ? 


A. encrypt password B. service password-encryption 
C. service-password-encryption D. exec-timeout 1 44 

(7) 下 面 哪个 命令 选择 路 由 器 上 所 有 的 默认 VTY 端口 以 便 对 其 进行 配置 ? 
A. Router#line vty 0 4 B. Router(Cconfig) 如 ine vty 0 4 


C. Router(config-if)#1ine console 0 D. RouterCconfig)#1ine vty all 
(8) 下 面 哪个 命令 将 启用 加 密 密 码 设置 为 Cisco? 


A. enable secret password Cisco B. enable secret Cisco 
C.enable secret Cisco | D. enable password Cisco 
(9) 要 让 管理 员 在 登录 路 由 器 时 看 到 一 条 消息 ， 可 使 用 哪个 命令 ? 
A.message banner motd B. banner message motd 
C. banner motd D. message motd 
(10) 下 面 娜 个 提示 符 表 明 当 前 处 于 特权 模式 ? 
A. router(config)# B. router> C. router# D. router (config-if) 


(11) 要 将 RAM 中 的 配置 存储 到 NVRAM 中 ， 可 使 用 哪个 命令 ? 
A. Router(config)#copy current to starting 
B.Router# copy starting to running 
C.Router (config)# copy running-config startup-config 
D. Router# copy run start 

(12) 当 你 从 路 由 器 Corp 试图 登录 路 由 器 SFRouter 时 ， 收 到 如 下 消息 : 
Corp#telnet SFRouter 
Trying SFRouter (10.0.0.1)..0pen 


Password required, but none set 


[Connection to SFRouter closed by foreign host] 
Corp# 
要 解决 这 种 问题 ， 可 使 用 下 面 哪个 命令 序列 ? 

A. Corp(config)#line console 0 
Corp (config-1ine)#password password 
Corp (config-1ine)#1login 

B. SFRemote(config)#1line console 0 
Corp (config-line)#enable secret password 
Corp (config-line)#1login 

C. Corp(config)#line vty 0 4 
Corp (config-line)#password password 
Corp (config-line)#1login 
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D. SFRemote(Cconfig)#line vty 0 4 
Corp (config-1line)#password password 
Corp (config-l1ine)#login 
(13) 下 面 哪个 命令 删除 路 由 器 上 NVRAM 的 内 容 ? 
A. delete NVRAM B, delete startup-config 
C. erase NVRAM D. erase start 
(14) 你 执行 命令 show interface serial 0 时 出 现 如 下 内 容 ， 请 问 该 接口 存在 什么 问题 ? 


Serial0 is administratively down, line protocol is down 


A. 存活 定时 器 不 匹配 B. 管理 员 禁 用 了 该 接口 
C. 管理 员 正 通过 该 接口 执行 Png 操作 D. 该 接口 没有 连接 电缆 
(15) 下 面 哪个 命令 显示 路 由 器 上 所 有 接口 的 可 配置 参数 和 统计 信息 ? 
A. show running-config B. show startup-config 
C. show interfaces D. show versions 
(16) 如 果 你 删除 NVRAM 的 内 容 并 重启 路 由 器 ， 将 进入 哪 种 模式 ? 
A. 特权 模式 B. 全 局 模式 C. 设置 模式 D. NVRAM 载 人 模式 


(17) 你 在 路 由 器 上 输入 如 下 命令 时 收 到 了 如 下 消息 : 


Router#show serial 0/0 


人 


% Invalid input detected at '^' marker. 


请 问 为 何 会 出 现 这 种 错误 消息 ? 
A. 需要 在 特权 模式 下 B. serial 和 0/0 之 间 不 能 有 空格 
C. 该 路 由 器 没有 接口 seria}0/0 D. 命令 不 完整 


(18) 你 输入 Router#sh ru 时 看 到 错误 消息 a% ambiguous command， 请 问 为 何 会 出 现 这 种 错误 消息 ? 
A. 需要 在 该 命令 中 指定 额外 的 选项 或 参数 B. 有 多 个 以 字母 ru 打头 的 show 命令 
C. 没有 以 字母 ru 打头 的 show 命令 D. 在 错误 的 路 由 器 模式 下 执行 了 该 命令 
(19) 下 面 哪 两 个 命令 显示 接口 的 当前 全 地 址 以 及 第 1 层 和 第 2 层 的 状态 ? 
A. show version B. show interfaces C. show controllers 
D. show ip interface  E.show running-config 
(20) 如 果 你 输入 show interface serial 1 时 看 到 如 下 内 容 ， 问 题 出 在 OSI 模型 的 哪 一 层 ? 
Seriall is down, line protocol is down 
A. 物理 层 B. 数据 链 路 层 
C. 网 络 层 D. 网 络 没有 问题 ， 是 路 由 器 出 现 了 问题 


6.11 复习 题 答案 


(1) C。 命令 exec-timeout 以 分 钟 和 秒 数 设置 超时 时 间 。 

(2) D。 我 们 可 使 用 调制 解 调 器 命令 配置 辅助 端口 ， 以 便 将 调制 解 调 器 连接 到 路 由 器 。 如 果 远 程 路 由 器 
出 现 了 故障 ， 而 你 需要 对 其 进行 带 外 配置 (在 网 络 外 进行 配置 ) ， 这 项 功能 让 你 能 够 通过 拨号 连接 其 辅助 
端口 。 

(3) C、D。 要 在 路 由 器 上 配置 SSH， 你 需要 配置 命令 username、ip domain-name 和 1ogin local、 
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transport input ssh (在 VTY 线路 配置 模式 下 ) 和 crypto key。 然 而 ， 并 非 必须 使 用 SSH 第 二 版 ， 但 
推荐 这 样 做 。 
(4) C。 命 令 show controllers serial 0 指出 该 接口 连接 的 是 DTE 电缆 还 是 DCE 电缆 。 如 果 是 DCE 
电缆 ， 则 和 需要 使 用 命令 clock rate 配置 时 钟 频率 。 
(5) C。 文 件 的 默认 位 置 如 下 : IOS 位 于 闪存 中 ， 启 动 配置 位 于 NVRAM 中 ， 而 运行 配置 位 于 RAM 中 。 
(6) B。 在 全 局 配置 模式 下 ， 命 令 service password-encryption 将 密码 加 密 。 
(7)B。 在 全 局 配置 模式 下 ， 使 用 命令 1ine vty 0 4 选择 对 全 部 5 条 默认 VTY 线路 进行 配置 。 
(8) C。 启 用 加 密 密 码 是 区 分 大 小 写 的 ， 因 此 答案 B 不 对 。 要 设置 启用 加 密 密 码 ， 可 在 全 局 配置 模式 下 
使 用 命令 enable secret password。 
(9) C。 典 型 的 旗 标 是 MOTD ， 在 全 局 配置 模式 下 使 用 命令 banner motd 设置 。 
(10) C。 各 提示 符 表 示 的 模式 如 下 。 
router (config)#: 全 局 配置 模式 。 
router>: 用 户 模式 。 
router#: 特权 模式 。 
router(Cconfig-if)#: 接口 配置 模式 。 
(11) D。 要 将 运行 配置 复制 到 NVRAM 中 ， 供 路 由 器 重启 时 使 用 ， 可 在 特权 模式 下 执行 命令 copy 
running-config startup-config (简写 为 copy run start ) 。 
(12) D。 要 让 路 由 器 支持 VTY ( Telnet ) 会 话 ， 必 须 设 置 VTY 密码 。 答 案 C 不对， 因为 它 在 错误 的 路 
由 器 上 设置 该 密码 。 注 意 ， 答 案 D 在 执行 命令 1ogin 前 设置 了 密码 ， 思 科 可 能 要 求 你 必须 这 样 做 。 
(13) D。 命 令 erase startup-config 删除 NVRAM 的 内 容 ， 如 果 随 后 重启 路 由 器 ， 将 进入 设置 模式 。 
(14) B。 如 果 接 口 被 禁用 ， 命 令 show interface 将 指出 它 处 于 管理 性 关闭 状态 。 ( 该 接口 可 能 没有 连 
接 电缆 ， 但 根据 这 条 消息 无 法 作出 判断 。 ) 
(15) C。 使 用 命令 show interfaces 可 查看 可 配置 的 参数 、 获 悉 路 由 器 接口 的 统计 信息 、 验 证 接口 是 
否 被 禁用 以 及 获悉 每 个 接口 的 下 地 址 。 
(16) C。 如 果 删 除 启动 配置 并 重启 路 由 器 ， 路 由 器 将 自动 进入 设置 模式 。 我 们 也 可 随时 在 特权 模式 下 输 
人 setup 以 进入 设置 模式 。 
(17) D。 你 可 在 用 户 模式 下 查看 接口 统计 信息 ， 但 需 使 用 命令 show interface serial 0/0。 
(18) B。 错 误 消息 % ambiguous command 表明 有 多 个 以 ru 打头 的 show 命令 。 要 获悉 正确 的 命令 ， 可 
使 用 问号 。 
(19) B、D。 命令 show interfaces 和 show ip interface 显示 路 由 器 接口 的 卫 地 址 及 其 第 1 层 和 第 
2 层 的 状态 。 
(20)A。 如 果 串 行 接口 和 线路 协议 都 处 于 down 状态 , 则 表明 问题 出 在 物理 层 。 如 果 看 到 seriall is up， 
1ine protocol is down， 说 明 未 收 到 来 自 远程 端的 数据 链 路 层 存活 消息 。 


6.12 书面 实验 6 答案 


(1) router (config-if)#clock rate 64000 
(2) router#config t 
router(config)# line vty 0 4 
router(config-line)# no login 


6.12 书面 实验 6 答案 


(3) router#config t 
router(config)# int e0 
router(config-if)# no shut 
(4) router#erase startup-config 
(5) router#config t 
router(config)# line console 0 
router(config)# login 
router(config)# password todd 
(6) router#config t 
router(config)# enable secret cisco 
(7) router#show controllers serial 0/2 
(8) router#show terminal 
(9) router#reload 
(10) router#config t 
router (config)#hostname Chicago 
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本 章 涵盖 如 下 CCNA 考试 要 点 。 


v 在 思科 设备 上 配置 、 验 证 基本 的 路 由 器 操作 和 路 由 选择 ， 并 排除 故障 

口 管理 IOS 的 配置 文件 (包括 保存 、 编 辑 、 升 级 和 恢复 ); 

口 管理 思科 IOS; 

口 验证 网 络 连 接 (包括 使 用 ping、traceroute 和 Telnet 或 SSH )。 

在 第 7 章 中 ， 读 者 将 学 习 到 如 何 管理 位 于 互联 网 络 上 的 思科 路 由 器 。 由 于 IOS 和 配置 文件 分 别 
保存 在 思科 设备 上 的 不 同位 置 ， 因 此 正确 了 解 这 些 文件 的 保存 位 置 及 其 工作 方式 就 是 一 件 非 常 重要 
的 事情 。 

读者 还 将 学 习 有 关 路 由 器 的 主要 组 件 、 路 由 器 的 启动 顺序 以 及 配置 寄存 器 的 相关 知识 ， 其 中 将 涉 
及 如 何 使 用 配置 寄存 器 来 恢复 密码 。 此 外 ， 读 者 还 将 了 解 到 在 使 用 思科 IFS (IOS File System，IOS 文 
件 系 统 ) 的 情况 下 ， 如 何在 TFTP 主机 上 利用 copy 命令 管理 路 由 器 。 


本 章 最 后 讨论 CDP ( Cisco Discovery Protocol， 思 科 发 现 协议 )， 读 者 将 了 解 到 如 何 解析 主机 名 ， 
并 掌握 一 些 重 要 的 思科 IOS 故障 排除 技术 。 


有 关 本 章 内 容 的 最 新 修订 ,请 访问 www.lammle.com 或 www.sybex.com/go/ccna7e。 


注意 


7.1 思科 路 由 器 的 内 部 组 件 


为 了 配置 思科 互联 网 络 和 排除 故障 ,我 们 必须 首先 了 解 思科 路 由 器 的 主要 组 件 ， 并 理解 这 些 组 件 
各 自 的 作用 。 表 7-1 给 出 了 对 思科 路 由 器 主要 组 件 的 描述 。 


表 7-1 思科 路 由 器 的 组 件 
组 ” 件 


撕 述 
引导 程序 存储 在 ROM 中 的 微 代码 ， 主 要 作用 是 在 路 由 器 初始 化 时 启动 它 。 引 导 程 序 将 启动 路 由 
器 并 加 载 IOS 
POST (开机 自 检 ) 存储 在 ROM 中 的 微 代码 ， 用 于 检测 路 由 器 硬件 的 基本 功能 ， 并 确定 当时 可 用 的 接口 
ROM 监 控 程 序 存储 在 ROM 中 的 微 代码 ， 用 于 制造 、 测 试 和 故障 诊断 
微型 IOS 


被 思科 称 为 RXBOOT 或 引导 加 载 程序 ， 是 一 个 存 贮 在 ROM 中 的 小 型 IO0S， 用 于 启动 一 
个 接口 并 将 思科 IOS 加 载 到 闪存 中 。 微 型 IOS 也 可 以 用 于 执行 一 些 其 他 的 维护 操作 
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〈 续 ) 
组 ” 件 描 述 
RAM ( 随机 存 取 存储 器 ) 用 于 存储 分 组 缓存 、ARP 缓 存 、 路 由 表 以 及 路 由 器 运行 时 所 需要 的 软件 和 数据 结构 。 
运行 配置 保存 在 RAM 中 ， 并 且 多 数 路 由 器 都 是 在 启动 时 将 IOS 从 闪存 中 加 载 并 释放 到 


RAM 运 行 的 
ROM ( 只 读 存储 器 ) 用 于 启动 和 维护 路 由 器 的 正常 运行 。 其 主要 功能 是 保存 POST、 引 导 程 序 以 及 微型 IOS 
闪存 默认 保存 路 由 器 的 Cisco IOS。 内 存 中 的 内 容 不 会 在 路 由 器 重启 时 被 擦 除 。 它 是 由 英 
特 尔 开发 的 一 种 EEPROM ( Electronically Erasable Programmable Read-Only Memory， 
电 可 控 除 可 编程 的 只 读 存 储 器 ) 


NVRAM( 非 易 失 性 RAM ) 用 于 存储 路 由 器 和 交换 机 的 配置 内 容 .NVRAM 中 的 内 容 也 不 会 随 路 由 器 或 交换 机 的 
重启 丢失 。NVRAM 不 能 保存 IOS， 配 置 寄存 器 是 存储 在 NVRAM 中 的 


配置 寄存 器 ( Configuration 用 于 控制 路 由 器 的 启动 方式 。 配 置 寄存 器 的 值 将 在 show version 命 令 输出 的 最 后 一 
register ) 行内 容 中 给 出 ， 其 默认 配置 值 通常 为 0x2102， 这 一 配置 值 的 含义 是 ， 路 由 器 需要 从 闪 
存 中 加 载 IOS， 从 NVRAM 中 加 载 配 置 


7.2 路 由 器 的 启动 顺序 


当 路 由 器 启动 时 ， 它 需要 执行 一 系列 的 操作 ， 即 所 谓 的 启动 顺序 ( boot sequence )， 其 目的 是 测试 
硬件 并 加 载 所 需要 的 软件 。 启 动 顺 序 包 括 以 下 步 又。 

(1) 路 由 器 执行 POST (开机 自 检 )。POST 将 检查 硬件 ， 以 验证 设备 的 所 有 组 件 目前 是 可 运行 的 。 
例如 , POST 会 分 别 检 查 路 由 器 的 不 同 接口 。POST 保存 在 ROM ( 只 读 存储 器 ) 中 , 并 从 ROM 运行 。 

(2) 之 后 ,引导 程序 将 查找 并 加 载 思 科 IOS 软件 。 引 导 程 序 保 存在 ROM 中 ， 用 于 执行 程序 。 引 导 
程序 负责 查找 每 个 IOS 程序 的 存储 位 置 ， 并 随后 加 载 该 文件 。 默 认 情况 下 ， 所 有 思科 路 由 器 都 会 首先 
从 闪存 中 加 载 IOS 软件 。 


加 载 IOS 的 默认 顺序 是 闪存 、TFTP 服务 器 ， 然 后 是 ROM。 

提示 

(3) IOS 软件 将 在 NVRAM 中 查找 有 效 的 配置 文件 。 此 文件 称 为 启动 配置 ( startup-config )， 只 有 
当 管 理 员 将 运行 配置 文件 复制 到 NVRAM 中 时 才 会 产生 。( 新 的 ISR 路 由 器 中 都 预 设 了 一 个 小 型 启动 
配置 文件 。) 

(4) 如 果 在 NVRAM 中 查找 到 启动 配置 文件 , 路 由 器 会 复制 此 文件 到 RAM 中 , 并 将 它 称 为 运行 配 
置 。 路 由 器 将 使 用 这 个 文件 运行 路 由 器 。 路 由 器 将 进入 正常 运转 状态 。 如 果 在 NVRAM 中 没有 查找 到 
启动 配置 文件 , 路 由 器 将 在 所 有 可 进行 CD( carrier detect, 载波 检测 ) 的 接口 发 送 广播 , 用 以 查找 TFTP 
主机 可 使 用 的 配置 文件 ， 如 果 没 有 找到 ( 这 一 查找 通常 情况 下 都 不 会 成 功 ， 而 大 部 分 人 甚至 都 不 会 察 
党 到 路 由 器 曾 进行 过 这 样 的 尝试 )， 路 由 器 将 进入 设置 模式 进行 配置 。 


7.3 ”管理 配置 寄存 器 
所 有 思科 路 由 器 都 有 一 个 写 人 NVRAM 中 的 16 位 可 软件 编程 的 寄存 器 。 默 认 情况 下 ， 配 置 雪 存 
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器 被 设置 为 从 闪存 加 载 思科 IOS， 并 且 在 NVRAM 中 查找 并 加 载 启动 配置 文件 。 下 面 将 讨论 配置 寄存 
器 的 设置 以 及 如 何 使 用 这 些 设置 恢复 路 由 器 的 密码 。 
7.3.1 理解 配置 寄存 器 的 位 


对 这 16 位 (2B ) 配置 寄存 器 数值 的 读 取 方式 是 从 15 读 到 0， 即 按照 从 左 到 右 的 顺序 。 思 科 路 由 
器 上 默认 的 配置 设置 是 0x2102。 这 意味 着 第 13 位、 第 8 位 和 第 1 位 是 置 1 的 ， 如 表 7-2 所 示 。 注 意 每 
个 4 位 组 ( 称 为 半 字 节 ) 中 的 位 所 对 应 的 二 进 制 取 值 分 别 为 8、4、2、1。 


表 7-2 配置 寄存 器 位 的 取 值 


配置 寄存 器 2 1 0 2 
位 值 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0 
二 进 制 0 0 1 0 0 0 0 1 0 0 0 0 0 0 1 0 


我 们 需要 在 配置 寄存 器 地 址 前 面 添 加 前 组 0x。0x 意味 着 后 面 的 数字 是 十 六 
注意 制 的 。 


表 7-3 列 出 了 各 软件 配置 位 的 意义 。 注 意 第 6 位 用 于 忽略 NVRAM 的 内 容 。 此 位 可 用 于 密码 恢 
复 一 一 将 在 7.3.4 节 介 绍 。 


表 7-3 ”软件 配置 位 的 含义 


位 十 六 进 制 描 述 
0 一 3 0x0000 一 0x000F 启动 字段 ( 参见 表 7-4 ) 
6 0x0040 忽略 NVRAM 内 容 
7 0x0080 启用 OEM 位 
8 Ox101 禁用 中 断 
10 0x0400 PP 广播 全 零 
5、 11~12 Ox0800 ~ 0x1000 控制 台 线路 速率 
13 0x2000 如 果 网 络 启动 失败 ， 则 启动 默认 的 ROM 软 件 
14 0x4000 不 使 用 网 络 号 的 了 广播 
15 0x8000 启用 诊断 信息 并 忽略 NVRAM 内 容 


记 住 十 六 进 制 中 使 用 的 是 0~9 和 A~F (A=10、 B=11、C=12、D=13、E= 
注意 ”14 和 F=15)。 这 意味 着 配置 寄存 器 设置 为 210F 时 ， 其 实际 取 值 是 210 (15), 或 二 
进 制 的 1111。 


配置 寄存 器 中 的 0~3 位 即 所谓 的 启动 字段 , 它 控制 着 路 由 器 的 启动 方式 。 表 7-4 描述 了 启动 字段 
不 同位 值 的 含义 和 作用 。 
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表 7-4 ”启动 字段 〈 配 置 寄 存 器 的 00~03 位 ) 


启动 字段 含义 作 用 
00 ROM 监 控 模 式 如 果 要 启动 ROM 监控 模式 ,我 们 可 以 将 配置 寄存 器 的 值 设置 为 2100。 我 
们 必须 使 用 b 命 令 手 动 启动 路 由 器 。 启 动 后 ， 路 由 器 将 以 rommon> 为 提示 符 
01 从 ROM 中 引导 如 果 要 使 用 保存 在 ROM 中 的 微型 IOS 引 导 路 由 器 , 我 们 需要 将 配置 寄存 器 


设置 为 2101。 启 动 后 ， 路 由 器 将 以 router (boot)> 为 提示 符 


02~F 指定 默认 的 启动 文件 将 配置 寄存 器 设置 为 2102 一 210F 中 的 任 一 值 ， 都 是 要 求 路 由 器 使 用 在 
NVRAM 中 指定 的 启动 命令 


7.3.2 ”检查 当前 配置 寄存 器 中 的 值 


使 用 命令 show version (简写 为 sh version 或 show ver )， 我 们 便 可 以 查看 配置 寄存 器 中 的 
当前 取 值 ， 如 下 所 示 : 

Router>sh version 

Cisco IOS Software, 2800 Software (C2800NM-ADVSECURITYK9-M), Version 

12.4(12), RELEASE SOFTWARE (fc1) 

[output cut] 

Configuration register is 0x2102 

这 一 命令 给 出 信息 的 最 后 部 分 就 是 当前 配置 寄存 器 中 的 值 。 此 例 中 这 一 值 为 0x2102, 即 默 认 的 设 
置 。 将 配置 寄存 器 的 值 设 置 为 0x2102， 就 是 要 求 路 由 器 在 NVRAM 中 查找 启动 配置 。 


注意 ，show version 命令 同时 还 提供 IOS 版 本 信息 ， 在 上 面 这 个 示例 中 ，IOS 的 版 本 显示 为 
12.4(12)。 


show version 命令 用 于 显示 路 由 器 系统 的 硬件 配置 、 软 件 版 本 以 及 启动 映像 文 
注意 ” 件 名 。 


7.3.3 ”修改 配置 青 存 器 


我 们 可 以 通过 改动 配置 寄存 器 的 值 修改 路 由 器 的 启动 和 运行 方式 。 导 致 改动 配置 寄存 器 的 一 些 主 
要 因素 如 下 : 

口 需要 强制 系统 进入 ROM 监控 模式 ; 

口 需要 选择 不 同 的 启动 方式 ; 

口 需要 启用 或 禁用 Break ( 中断 ) 功能 ; 

口 需要 对 广播 地 址 进行 控制 ; 

口 需要 设置 特定 的 控制 台 终端 连接 波 特 率 ; 

口 需要 从 ROM 中 加 载 操作 系统 软件 ; 

口 需要 从 TFTP ( Trivial File Transfer Protocol， 简 单 文件 传输 协议 ) 服务 器 上 实现 引导 。 
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命令 config-register 可 以 用 于 改动 配置 寄存 器 的 当前 值 。 下 面 的 示例 就 给 出 了 要 求 路 由 器 从 


在 对 配置 寄存 器 进行 政 动 之 前 ， 你 一 定 要 确信 已 经 知道 配置 寄存 器 的 当前 值 。 
注意 ” 我 们 可 以 使 用 show version 命令 获 番 配置 寄存 器 的 当前 值 。 


ROM 中 引导 一 个 小 型 IOS 并 随后 显示 配置 寄存 器 当前 值 的 命令 组 合 ， 
Router(config)#config-register Ox2101 
Router(Cconfig)#^Z 
Router#sh ver 
[output cut] 
Configuration register is Ox2102 (will be 0x2101 at next 


reload) 


注意 ， 命 令 


致 的 ， 这 个 值 也 可 以 被 表达 为 其 他 形式 。 
下 面 是 示例 中 的 路 由 器 在 配置 寄存 器 被 修改 为 0x2101 后 又 重新 启动 的 情况 : 


Router(boot)#sh ver 


show version 给 出 配置 寄存 器 的 当前 值 ， 同 时 也 给 出 路 由 器 重新 启动 时 配置 寄存 器 
的 值 。 我 们 对 配置 寄存 器 进行 的 任何 修改 在 路 由 器 重新 启动 之 前 都 不 会 起 作用 。 值 0x02101 要 求 路 由 
器 在 下 次 重启 时 从 ROM 中 加 载 IOS。 具体 操作 中 你 可 能 看 到 的 会 是 0x101, 但 要 表示 的 内 容 是 基本 一 


Cisco IOS Software, 2800 Software (C2800NM-ADVSECURITYK9-M)}, Version 


[output cut] 


12.4(12), RELEASE SOFTWARE (fc1) 


ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) 


Router uptime is 3 minutes 


System returned to ROM by power-on 
System image file is "flash:c2800nm-advsecurityk9-mz.124-12.bin" 
[output cut] 


Configuration register is 0x2101 


在 这 里 ， 如 果 使 用 show flash 命令 ， 你 仍 将 看 到 闪存 中 保存 的 可 用 于 运行 的 IOS。 但 示例 中 我 


们 告诉 路 由 器 要 从 ROM 加 载 IOS， 这 也 是 主机 名 后 要 显示 为 (boot) 的 原因 。 


Router(boot )#sh flash 
-#- --]ength 


1 
2 
3 
4 
5 
6 
7 


21710744 
1823 
4734464 
833024 
1052160 
1038 
102400 


2007 
2006 
2006 
2006 
2006 
2006 
2006 


C2800nm-advsecurityk9-mz.124-12.bin 
sdmconfig-2811.cfg 

sdm. tar 

es ,tar 

Common .七 ar 

home. shtm]l 


| home .tar 
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8 491213 Dec 5 2006 14:49:22 +00:00 128MB.sdf 
9 1684577 Dec 5 2006 14:50:04 +00:00 securedesktop-ios-3.1.1.27-k9.pkg 
10 398305 Dec 5 2006 14:50:34 +00:00 sslclient-win-1.1.0.154.pkg 


32989184 bytes available (31027200 bytes used) 


所 以 尽管 在 路 由 器 的 闪存 中 保存 有 完整 的 IOS 文件, 但 是 我 们 仍 可 以 通过 改动 配置 寄存 器 的 值 修 
改 路 由 器 加 载 系统 软件 的 默认 方式 。 如 果 希 望 将 配置 寄存 器 的 值 改 回 默认 值 , 我 们 只 需 输入 以 下 命令 : 

Router(boot)#config 七 

Router(boot)(config)#config-register 0x2102 

Router(boot)(config)# 人 ^Z 

RouterCboot)#reload 


下 一 节 中 ， 我们 将 介绍 如 何 将 路 由 器 引导 到 ROM 监控 模式 ， 以 便 完成 密码 恢复 。 
7.3.4 ”密码 恢复 


如 果 忘 记 了 路 由 器 的 登录 密码 ， 并 因此 被 路 由 器 拒绝 访问 ， 这 时 我 们 可 以 改动 配置 寄存 器 的 值 来 
恢复 对 路 由 器 的 正常 访问 。 正 如 前 面 介绍 过 的 ,配置 寄存 器 中 的 第 六 位 用 于 告诉 路 由 器 启动 时 是 否 加 
载 保存 在 NVRAM 中 的 配置 文件 。 

路 由 器 配置 寄存 器 的 默认 值 是 0x2102， 这 表明 其 第 六 位 是 关闭 的 〈 取 值 为 0 )。 默 认 设置 要 求 路 
由 器 查找 并 加 载 保 存在 NVRAM (启动 配置 文件 ) 中 的 路 由 器 配置 内 容 。 如 果 想 要 恢复 丢失 的 密码 ， 
则 我 们 需要 开启 第 6 位 ， 明 确 告诉 路 由 器 不 要 加 载 保存 在 NVRAM 中 的 配置 内 容 。 将 第 六 位 置 1 后， 
配置 寄存 器 的 值 是 0x2142。 

下 面 是 进行 密码 恢复 的 主要 步 又: 

(1) 启动 路 由 器 ， 并 通过 中 断 操作 中 止 启动 过 程 ， 将 路 由 器 引导 至 ROM 监控 模式 ; 

(2) 修改 配置 寄存 器 ， 将 第 六 位 的 取 值 置 1 ( 即将 值 设置 为 0x2142 ); 

(3) 重启 路 由 器 ; 

(4) 进入 特权 模式 ; 

(5) 将 启动 配置 文件 复制 为 运行 配置 文件 ; 

(6) 修改 密码 ; 

(7) 将 配置 寄存 器 的 值 恢复 为 默认 值 ; 

(8) 保存 修改 后 的 路 由 器 配置 ; 

(9) 重新 启动 路 由 器 ( 可 选 )。 

后 面 我 们 还 将 详细 介绍 这 些 具体 步 又 ， 并 给 出 恢复 ISR、2600 以 及 2500 系列 路 由 器 的 具体 操作 。 
(后 续 实验 仍 可 使 用 2500 系列 路 由 器 完成 ， 但 你 仍 需 了 解 有 关 其 他 系列 路 由 器 的 操作 细节 ! ) 

正如 我 在 前 面 介 绍 的 , 你 可 以 在 路 由 器 引导 时 按 下 Ctrl+Break 进入 ROM 监控 模式 。 但 如 果 无 
法 找到 要 加 载 的 IOS 或 其 被 破坏 ,同时 又 没有 可 用 的 网 络 连接 访问 TFTP 主机 , 或 者 如 果 ROM 中 
的 微型 IOS 没有 被 加 载 ( 即 路 由 器 默认 的 备用 方案 也 失效 了 )， 这 时 路 由 器 会 默认 进入 ROM 监控 
模式 。 
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1. 中 断路 由 器 启动 序列 

首先 ， 我 们 需要 启动 路 由 器 ， 并 发 出 一 个 中 断 指令 。 常 见 的 做 法 是 ， 在 首次 重启 路 由 器 时 需要 连 
接 HyperTerminal ( 超级 终端 ， 我 个 人 比较 喜欢 使 用 SecureCRT 或 Putty ) 时 ， 并 通过 此 终端 向 路 由 器 
发 出 中 断 指 令 ， 其 具体 操作 就 是 同时 按 下 键盘 上 的 Ctrl 和 Break 键 。 

执行 中 断后 ， 对 于 2600 系列 路 由 器 我 们 会 看 到 如 下 内 容 (ISR 系列 的 输出 也 大 致 如 此 ): 

System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) 

Copyright (c) 1999 by cisco Systems, Inc. 

TAC:Home:SW:IOS:Specials for info 

PC = 0xfff0a530，Vector = 0x500，SP = 0x680127b0 

C2600 platform with 32768 Kbytes of main memory 

PC = 0xfff0a530，Vector = 0x500，SP = Ox80004374 

monitor: command "boot" aborted due to user interrupt 

rommon 1 > 

注意 ,在 monitor: command "boot"aborted due to user interrupt 这 一 行 后 面 显示 的 是 
rommon 1> 提 示 符 ， 这 表明 从 这 个 位 置 开始 就 进入 了 ROM 监控 模式 。 

2. 修改 配置 寄存 器 

正如 前 面 介绍 的 ， 我 们 可 以 在 IOS 中 使 用 config-register 命令 修改 配置 寄存 器 的 值 。 要 将 寄 
存 器 的 第 六 位 设置 为 1， 则 整个 配置 寄存 器 的 值 被 修改 为 0x2142。 


如 果 将 配置 寄存 器 的 值 修改 为 0kx2142， 那 么 路 由 器 在 启动 时 将 绕 过 启动 配置 文 
注意 ” 件 并 进入 设置 模式 。 


@ 思科 ISR/2600 系列 的 操作 命令 

要 改动 思科 ISR/2600 系列 路 由 器 的 配置 寄存 器 中 位 的 值 ， 我 们 可 以 在 rommon 1> 提 示 符 下 直接 
输入 如 下 命令 : 

rommon 1 >confreg 0x2142 

You must reset or power cycle for new config to take effect 

rommon 2 >reset 

@ 思科 2500 系列 的 操作 命令 

要 修改 思科 2500 系列 路 由 器 上 配置 寄存 器 的 值 ， 我 们 可 以 在 路 由 器 上 执行 一 个 中 断 操作 ， 然 后 
输入 o, 这 将 打开 一 个 设置 配置 寄存 器 选项 的 菜单 。 要 修改 配置 寄存 器 的 值 , 我 们 可 以 输入 命令 oyr， 
其 后 接 新 的 寄存 器 值 。 下 面 就 是 一 个 在 2501 路 由 器 上 将 配置 寄存 器 的 第 六 位 置 1 的 示例 : 

System Bootstrap, Version 11.0(C10c), SOFTWARE 

Copyright (c) 1986-1996 by cisco Systems 

2500 processor with 14336 Kbytes of main memory 

Abort at 0x1098FEC (PC) 

>0 

Configuration register = 0x2102 at last boot 

Bit# Configuration register option settings: 
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15 Diagnostic mode disabled 

14 IP broadcasts do not have network numbers 

13 Boot default ROM software if network boot fails 
12-11 Console speed is 9600 baud 

10 IP broadcasts with ones 

08 Break disabled 

07 OEM disabled 

06 Ignore configuration disabled 


03-00 Boot file is cisco2-2500 (or 'boot system' command) 

>o/r 0x2142 : 

注意 ， 上 述 路 由 器 输出 的 最 后 一 行 是 03-00, 这 个 内 容 限 定 了 路 由 器 在 启动 时 要 加 载 的 IOS 文件 。 
默认 情况 下 ， 路 由 器 将 加 载 在 闪存 中 找到 的 首 个 IOS 文件 ， 所 以 如 果 要 加 载 不 同名 的 IOS 文件 ， 则 我 
们 需要 使 用 boot system flash:ios_name 命令 。( 我 们 稍 后 就 会 介绍 boot systenm 命令 。) 

3. 重新 启动 路 由 器 并 进入 特权 模式 

在 完成 了 上 述 操作 后 ， 我 们 需要 重 置 路 由 器 ， 具 体操 作 如 下 : 

口 对 于 ISR/2600 系列 路 由 器 ， 输 入 工 ( 即 initialize， 初 始 化 ) 或 reset 命令 ; 

口 对 于 2500 系列 路 由 器 ， 输 入 I。 

路 由 器 将 重新 启动 并 询问 是 否 需要 进入 设置 模式 〈 因为 此 时 没有 可 供 使 用 的 启动 配置 文件 )。 回 
答 No (不 ) 进入 设置 模式 ， 按 下 回 车 键 进入 用 户 模 式 ， 然 后 再 输入 enable 进入 特权 模式 。 

4. 查看 并 修改 配置 内 容 . 

注意 , 我 们 没有 提供 用 户 模 式 和 特权 模式 的 进入 密码 。 接 下 来 我 们 需要 将 启动 配置 文件 复制 为 运 
行 配置 文件 : 

copy startup-config running-config 

我 们 也 可 以 使 用 如 下 简写 形式 : 

copy start run 

这 时 配置 文件 正在 RAM 中 运行 ， 而 我 们 现在 处 于 路 由 器 的 特权 模式 中 ， 也 就 是 说 可 以 查看 并 修 
改 路 由 器 的 现行 配置 文件 。 注 意 , 由 于 启用 加 密 密 码 设置 被 加 密 ， 这 个 密码 是 看 不 到 的 。 要 修改 密码 ， 
我 们 还 需要 执行 如 下 操作 : 

config t 

enable secret todd 

5. 恢复 配置 寡 存 器 的 值 并 重新 启动 路 由 器 

在 修改 完 密 码 之 后 , 我 们 需要 将 配置 寄存 器 恢复 到 默认 值 , 这 时 可 以 使 用 config-register 命令 : 

config t 

config-register 0x2102 


最 后 ,我 们 需要 使 用 copy running-config startup-config 命令 保存 对 配置 文件 的 修改 ， 并 
重新 启动 路 由 器 。 


如 果 保 存 了 配置 文件 并 重新 启动 路 由 器 ， 路 由 器 还 是 进入 设置 模式 ， 这 可 能 意 
注意 ” 味 着 此 时 配置 寄存 器 的 设置 不 正确 。 
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7.3.5 boot system 命令 


不 知 你 是 否 知道 ， 当 路 由 器 的 闪存 被 损坏 时 ， 我 们 可 以 通过 修改 配置 让 路 由 器 加 载 其 他 IOS。 实 
际 上 ， 也 许 你 正 希 望 让 所 有 路 由 器 每 次 都 通过 某 个 TFTP 主机 完成 启动 ， 这 样 就 不 必 为 每 个 路 由 器 都 
进行 单独 升级 了 。 这 将 是 一 种 极 好 的 方式 ， 因 为 只 需要 更 新 TFTP 主机 上 的 一 个 文件 就 可 以 完成 一 次 
整体 升级 。 

下 面 介 绍 一 些 boot 命令 ， 我 们 可 以 用 它们 管理 路 由 器 启动 时 加 载 思科 IOS 的 方式 。 但 是 需要 记 
住 的 是 ， 我 们 在 这 里 讨论 的 是 路 由 器 使 用 的 IOS 文件 ， 而 不 是 路 由 器 的 配置 ! 

Router>en 

Router#config t 

Enter configuration commands, one per line. End with CNTL/Z. 

Router(config)#boot ? 

bootstrap Bootstrap image file 


config Configuration file 

host Router-specific config file 
network Network-wide config file 
system System image file 


命令 boot 提供 了 非常 灵活 的 使 用 方式 ， 但 在 首次 使 用 时 我 们 还 是 先 来 看 一 下 思科 推荐 的 典型 设 
置 方式 。 首 先 ， 命 令 boot system 允许 你 指定 路 由 器 使 用 闪存 中 的 哪个 文件 进行 引导 。 记 住 ， 在 默 
认 情 况 下 ， 路 由 器 是 使 用 在 闪存 中 可 以 找到 的 第 一 个 文件 进行 引导 的 。 使 用 下 列 命 令 我 们 就 可 以 修改 
这 一 默认 方式 : 

Router(config)#boot System ? 

WORD TFTP filename or URL 
flash Boot from flash memory 


ftp Boot from a server via ftp 
mop Boot from a Decnet MOP server 
rcp Boot from a server via rcp 
rom Boot from rom 


tftp Boot from a tftp server 
Router(config)#boot system flash c2800nm-advsecurityk9-mz.124-12.bin 


这 一 命令 迫使 路 由 器 使 用 指定 的 IOS 文件 进行 引导 。 当 需要 将 某 个 新 的 IOS 文件 加 载 到 闪存 中 并 
进行 测试 时 ,或 者 是 需要 完全 修改 默认 IOS 文件 加 载 顺 序 时 ， 这 个 命令 就 会 显得 很 有 用 。 
下 面 介绍 的 命令 是 一 种 后 备 例 程 ， 正 如 我 介绍 过 的 ， 你 也 可 以 将 这 一 命令 设置 为 永久 使 用 方式 ， 
即 要 求 路 由 器 总 是 从 TFTP 主机 上 引导 。 但 我 个 人 不 建议 这 样 做 ( 因为 存在 单 点 失效 的 可 能 ， 这 里 只 
是 想 告诉 你 ， 这 种 命令 使 用 方式 是 可 行 的 : 
Router(config)#boot system tftp ? 
WORD System image filename _ 
Router(config)#boot system tftp c2800nm-advsecurityk9-mz.124-12.bin ? 
Hostname or A.B.C.D Address from which to download the file 
<cr> 
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Router(Cconfig)#boot system tftp c2800nm-advsecurityk9-mz.124-12.bin 1.1.1.2 

Router(config)# 

如 果 不 能 加 载 保存 在 闪存 中 的 IOS 文件 并 且 TFTP 主机 也 不 能 提供 IOS 文件 ， 那 么 我 们 的 最 后 选 
择 是 从 ROM 中 加 载 微型 IOS， 操 作 命 令 如 下 : 

RouterCconfig)#boot System rom 

Router(Cconfig)#do show run | include boot System 

boot system flash c2800nm-advsecurityk9-mz.124-12.bin 

boot system tftp c2800nm-advsecurityk9-mz.124-12.bin 1.1.1.2 

boot system rom 

Router(config)# 


综 上 所 述 ， 我 们 现在 已 经 知道 路 由 器 在 加 载 IOS 文件 时 可 以 使 用 的 备用 位 置 ， 闪 存 、TFTP 主机 
和 ROM 一 一 相关 内 容 也 是 思科 建议 掌握 的 。 


7.4 备份 和 恢复 思科 IOS 


在 升级 或 恢复 思科 IOS 文件 之 前 ， 我 们 应 该 将 路 由 器 上 现存 的 IOS 文件 复制 到 TFTP 主机 上 ， 作 
为 备份 ， 以 防备 新 拷 人 的 文件 因 损坏 或 无 法 运行 使 路 由 器 不 能 正常 工作 。 

我 们 可 以 使 用 任何 一 台 TFTP 主机 完成 这 一 任务 。 在 默认 情况 下 ， 路 由 器 的 闪存 用 于 存储 思科 
IOS。 接 下 来 的 几 节 ， 我 们 将 学 习 如 何 检查 闪存 的 容量 ， 如 何 将 思科 IOS 从 闪存 复制 到 TFTP 主机 ， 
以 及 如 何 将 IOS 从 TFTP 主机 复制 到 闪存 中 。 | 


下 面 将 首先 介绍 如 何 使 用 TFTP 主机 管理 IOS 文件 ,随后 说 明 如 何 使 用 思科 IFS 
注意 ”管理 IOS 文件 。 


在 将 IOS 文件 备份 到 内 部 网 络 的 网 络 服务 器 之 前 ， 我 们 首先 需要 做 3 件 事 : 

口 确保 可 访问 网 络 服务 器 ; 

口 确保 网 络 服务 器 有 足够 的 空间 保存 代码 文件 ; 

口 核实 需要 操作 的 文件 的 名 字 及 路 径 。 

此 外 ， 如 果 设 备 连 接 方式 如 图 7-1 所 示 ， 笔 记 本 电脑 或 工作 站 的 以 太 网 端口 与 路 由 器 的 以 太 网 接 
口 直 接 相连 ， 那 么 在 尝试 将 文件 复制 到 或 复制 出 路 由 器 之 前 ， 我 们 还 需要 核实 下 列 内 容 : 

口 管理 员 的 工作 站 上 必须 运行 有 TFTP 服务 器 软件 ; 

口 路 由 器 和 工作 站 之 间 的 以 太 网 连接 必须 使 用 交叉 电缆 ; 

口 工作 站 和 路 由 器 的 以 太 网 接口 必须 配置 在 同一 个 子 网 上 ; 

口 如 果 需 要 从 路 由 器 的 闪存 中 复制 IOS, 则 copy flash tftp 命令 中 必须 使 用 工作 站 的 下 地 址 ; 

口 如 果 需 要 将 IOS 复制 到 闪存 中 ， 则 需要 核实 闪存 中 是 否 有 足够 空间 容纳 被 复制 进来 的 文件 。 


7-1 将 IOS 文件 从 工作 站 复制 到 路 由 器 
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7.4.1 验证 闪存 


使 用 新 的 IOS 文件 升级 路 由 器 上 的 思科 IOS 之 前 , 首先 应 当 核 实 路 由 器 的 闪存 是 否 还 有 充足 空间 
容纳 新 的 映像 文件 。 我 们 可 以 使 用 命令 show flash ( 可 简写 为 sh flash ) 核实 闪存 的 容量 ， 以 及 保 
存在 闪存 中 的 单个 或 多 个 文件 : 

Router#sh flash 

-#- --length-- ----- date/time------ path 


1 21710744 Jan 2 2007 22:41:14 +00:00 c2800nm-advsecurityk9-mz.124-12.bin 
[output cut] 


32989184 bytes available (31027200 bytes used) 
可 见 ， 上 面 的 路 由 器 中 配备 了 64 MB 的 内存， 并且 有 将 近 一 半 的 空间 已 被 使 用 。 


命令 show flash 用 于 显示 当前 IOS 映像 文件 所 占用 的 空间 ， 同 时 告诉 你 是 否 
注意 ”还 有 足够 的 空间 同时 容纳 当前 的 映像 文件 和 新 加 入 的 映像 文件 。 注 意 ， 如 果 没 有 足 
够 的 空间 同时 容纳 原 有 的 和 新 复制 进来 的 映像 文件 ， 继 续 进 行 复制 操作 会 将 原 有 的 

映像 文件 删除 ! 


实际 上 在 路 由 器 上 使 用 show version 命令 能 够 更 方便 地 获知 闪存 的 容量 : 
Router#show version 
[output cut] 


Cisco 2811 (revision 49.46) with 249856K/12288K bytes of memory. 

Processor board ID FTX1049A1AB 

2 FastEthernet interfaces 

.4 Serial(sync/async) interfaces 

1 Virtual Private Network (VPN) Module 

DRAM configuration is 64 bits wide with parity enabled. 

239K bytes of non-volatile configuration memory. 

62720K bytes of ATA CompactFlash (Read/Write) 

上 面 输出 内 容 的 最 后 一 行 给 出 了 闪存 的 容量 。 换 算 后 ， 我 们 得 知 闪存 的 容量 应 该 是 64 MB。 

注意 ， 在 此 示例 中 IOS 的 文件 名 是 c2800nm-advsecurityk9-mz.124-12.bin。 命 令 show flash 和 命 
令 show version 输出 结果 的 最 大 不 同 就 是 ，show flash 命令 将 显示 闪存 中 所 有 的 文件 ， 而 show 
version 命令 将 只 显示 路 由 器 中 当前 正在 使 用 中 的 IOS 文件 的 名 字 。 


7.4.2 备份 思科 IOS 


如 果 需 要 把 思科 IOS 文件 备份 到 TFTP 服务 器 上 ， 我 们 可 以 使 用 copy flash tftp 命令 。 这 是 
一 个 很 简单 的 命令 ， 它 只 需要 使 用 源 文件 的 文件 名 和 TFTP 服务 器 的 IP 地址。 

成 功 进行 备份 操作 的 关键 在 于 要 确保 路 由 器 与 TFTP 服务 器 的 良好 连接 。 我 们 可 以 在 路 由 器 控制 
台 的 提示 符 下 ， 通 过 ping TFTP 设备 来 检查 此 连接 的 完好 性 ， 具 体操 作 如 下 : 
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Router#ping 1.1.1.2 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 1.1.1.2, timeout 
is 2 seconds: 

Success rate is 100 percent (5/5), round-trip min/avg/max 
= 4/4/8 ms 


Ping ( Packet Internet Groper， 分 组 因特网 探测 器 ) 工具 是 用 于 测试 网 络 连 通 性 
意 的 ,本章 中 的 一 些 示 例 使 用 了 这 一 工具 。 我 们 将 在 7.9 节 详 细 介 绍 Ping。 


当 通 过 Ping TFTP 服务 器 确认 IP 连接 有 效 之 后 ， 我 们 就 可 以 使 用 copy flash tftp 命令 将 路 由 
器 上 的 IOS 文件 复制 到 TFTP 服务 器 上 ， 具 体操 作 如 下 : 

Router#copy flash tftp 

Source filename []?c2800nm-advsecurityk9-mz.124-12.bin 

Address or name of remote host []?1.1.1.2 


Destination filename [c2800nm-advsecurityk9-mz.124-12.bin]?[enter] 
TIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIEIIIIIIIIIIIIIIIIIIIIIIIIIIII 


21710744 bytes copied in 60.724 secs (357532 bytes/sec) 

Router# 

当 操 作 提 示 需 要 输入 源 文件 的 文件 名 时 ， 我 们 只 需要 从 show flash 命令 或 show version 命令 
所 给 出 的 输出 结果 中 复制 此 文件 名 并 粘贴 。 

在 上 面 的 示例 中 ， 闪 存 中 的 内 容 已 经 被 成 功 复制 到 TFTP 服务 器 中 。 其 中 ， 远 程 主机 的 地 址 就 是 
TFTP 服务 器 的 IP 地 址 ， 而 源 文件 名 就 是 路 由 器 闪存 中 的 IOS 文件 名 。 


BPs 命令 copy flash tftp 并 不 会 通过 提示 询问 文件 的 位 置 或 文件 的 放置 位 置 。 从 
警告 ”这 种 意义 上 讲 ，TFTP 只 是 一 种 “ 抓 起 随后 放下 ”的 程序 。 这 也 就 意味 着 ， 在 使 用 
TFTP 服务 器 时 我 们 必须 事先 指定 默认 的 工作 路 径 ， 否则 它 将 不 能 正常 工作 ! 


7.4.3 ”恢复 或 升级 思科 路 由 器 的 IOS 


如 果 需 要 将 思科 IOS 恢复 到 路 由 器 的 闪存 中 ， 以 替代 已 被 损坏 的 IOS 文件 ， 或 者 需要 升级 IOS， 
应 该 如 何 去 做 呢 ? 我 们 可 以 使 用 copy tftp flash 命令 把 文件 从 TFTP 服务 器 下 载 到 路 由 器 的 闪存 
中 。 在 使 用 这 一 命令 时 ， 我 们 需要 提供 TFTP 主机 的 卫 地 址 和 需要 下 载 文件 的 文件 名 。 

但 在 开始 这 一 操作 之 前 ， 我 们 要 确认 需要 复制 到 闪存 中 的 文件 已 经 存放 在 TFTP 服务 器 的 默认 目 
录 下 。 执行 此 命令 时 ,TFTP 不 会 询问 文件 的 存放 位 置 , 因此 如 果 要 使 用 的 文件 不 在 TFTP 服务 器 的 默 
认 目 录 中 ， 则 这 一 操作 不 能 完成 。 

Router#copy tftp flash 

Address or name of remote host []?1.1.1.2 
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Source filename []?c2800nm-advsecurityk9-mz.124-12.bin 
Destination filename [c2800nm-advsecurityk9-mz.124-12.bin]?[enter] 
%Warning: There is a file already existing with this name 

Do you want to over write? [confirm][enter] 

Accessing tftp://1.1.1.2/c2800nm-advsecurityk9-mz.124-12.bin... 
Loading c2800nm-advsecurityk9-mz.124-12.bin from 1.1.1.2 (via 


FastEthernetO/O):; WHITIETETIITIEIITIIIIT 
ETIEIIIIIIIII 


[OK - 21710744 bytes] 


21710744 bytes copied in 82.880 secs {261954 bytes/sec) 

Router# 

在 上 面 的 示例 中 ， 由 于 往 闪 存 中 复制 的 是 相同 的 文件 ， 因 此 我 被 询问 是 否 要 对 之 前 的 文件 进行 覆 
盖 。 注 意 ,我 们 正在 操作 的 对 象 是 保存 在 闪存 中 的 文件 ， 如 果 文 件 因为 履 写 操作 被 破坏 ,我 只 有 重启 
路 由 器 才 会 发 现 这 一 点 。 因 此 ， 对 这 个 命令 的 使 用 一 定 要 十 分 小 心 ! 如 果真 出 现 文件 被 破坏 的 情况 ， 
那么 下 次 引导 就 只 能 先进 入 ROM 监控 模式 ， 并 在 其 中 恢复 IOS 文件 。 

如 果 需 要 加 载 一 个 新 文件 ， 而 闪存 中 又 没有 足够 的 空间 同时 存储 新 的 和 已 有 的 文件 ， 这 时 路 由 器 
将 会 要 求 在 将 新 文件 写 和 人 之 前 删除 闪存 中 现 有 内 容 。 


我 们 可 以 将 思科 路 由 器 配置 成 一 个 在 闪存 中 运行 、 用 于 提供 路 由 器 系统 文件 的 
注意 ” TFTP 服务器 主机 。 实现 这 一 配置 的 全 局 配置 命令 是 tftp-server flash:ios_name。 


7.4.4 使 用 思科 IOS 文件 系统 


Cisco 开发 了 一 种 称 为 Cisco IFS (IOS File System，IOS 文件 系统 ) 的 文件 系统 ， 该 系统 允许 操作 
者 可 以 在 类 似 Windows DOS 提示 符 的 环境 中 操作 文件 和 目录 。 我 们 可 以 使 用 的 命令 包括 dir、copy、 
more、delete、erase 或 format、cd 和 pwd、mkdir 和 rmdir。 

IFS 为 操作 者 提供 了 查看 所 有 文件 的 能 力 ， 甚 至 可 以 查看 位 于 远程 服务 器 上 的 文件 。 当 需要 复制 
一 个 位 于 远程 服务 器 上 的 IOS 文件 时 , 你 一 定 非常 希望 能 够 确定 这 个 文件 的 有 效 性 , 并 同时 想 要 知道 
文件 的 大 小 ， 即 文件 所 需要 占用 的 空间 。 当 然 ， 如 果 能 在 将 文件 复制 到 路 由 器 上 之 前 ， 了 解 一 下 远程 
服务 器 上 的 配置 并 确认 一 切 都 工作 正常 ， 这 将 是 再 好 不 过 的 事 了 。 

IFS 将 文件 系统 的 用 户 界面 设计 得 非常 通用 一 一 它 是 一 个 与 平台 无 关 的 文件 管理 系统 。 通 过 它 ， 
你 可 在 所 有 路 由 器 上 以 同样 的 语法 结构 使 用 所 有 的 命令 ， 而 不 用 考虑 平台 的 兼容 性 ! 

这 个 系统 听 上 去 似乎 好 得 让 人 难以 置信 。 但 是 ， 通 过 实践 你 将 会 发 现 ，IFS 确实 可 以 在 不 同文 件 
系统 上 支持 所 有 命令 ， 而 这 一 功能 与 平台 无 关 。 要 做 到 这 一 点 也 并 非 很 困难 ， 因 为 各 种 文件 系统 仅 在 
其 完成 命令 的 方式 上 有 所 不 同 , 并 且 那 些 与 特定 文件 系统 不 相关 的 命令 在 该 系统 中 也 是 不 需要 被 支持 
的 。 可 以 肯定 的 是 ， 任 何 文件 系统 或 平台 对 那些 用 于 管理 的 命令 都 是 完全 支持 的 。 

IFS 另 一 个 很 突出 的 特点 是 , 它 将 许多 使 用 命令 时 必需 的 提示 精简 掉 了 。 当 你 想 输 入 一 个 命令 时 ， 
只 需要 将 所 有 必需 的 内 容 输入 命令 行 ， 而 不 必 通 过 一 连 串 的 提示 完成 命令 ! 因此 , 需要 复制 一 个 文件 
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到 FTP 服务 器 上 时 , 你 仅 需 指 出 目标 源 文 件 在 路 由 器 上 的 位 置 , 然后 准确 描述 目标 文件 在 FTP 服务 器 
上 的 位 置 ， 并 准备 好 用 于 连接 该 服务 器 的 用 户 名 和 密码 ， 最 后 再 将 所 有 这 些 内 容 都 输入 到 一 行 之 内 。 
对 于 那些 不 愿意 接受 改变 的 人 ,他 们 仍然 可 以 继续 使 用 那 种 极 精简 的 命令 输入 模式 ,在 路 由 器 的 不 断 
地 提示 下 输入 所 有 必要 信息 。 

但 即便 如 此 ， 路 由 器 仍 可 能 会 给 出 提示 ， 即 使 你 在 命令 行 中 输入 的 一 切 都 是 正确 的 。 这 一 现象 可 
归结 于 配置 file prompt 命令 的 方式 ， 以 及 所 使 用 的 具体 命令 。 但 是 ， 不 用 担心 ， 如 果 出 现 这 种 情 
况 ， 默 认 值 会 被 输入 正确 的 位 置 ， 而 这 时 你 只 需 按 下 回 车 键 验 证 这 一 值 的 正确 性 。 

IFS 提供 了 管理 各 种 目录 和 任意 目录 下 清单 文件 的 功能 。 另 外 ， 我 们 还 可 以 在 闪存 或 内 存 卡 上 建 
立 子 目 录 ， 但 这 些 操作 只 能 在 比较 新 的 平台 中 完成 。 

为 了 能 更 好 地 实现 上 述 功能 ， 新 文件 系统 的 操作 界面 使 用 URL 描述 文件 的 位 置 。 因 此 就 像 提 供 
Web 上 的 位 置信 息 ，URL 在 此 描述 文件 在 思科 路 由 器 上 的 位 置 ， 甚至 在 远程 文件 服务 器 上 的 位 置 ! 这 
样 , 我 们 在 命令 中 只 需要 使 用 URL, 就 可 以 表示 文件 或 目录 的 位 置 。 这 使 许多 问题 得 到 了 简化 ， 比 如 
将 文件 从 一 个 位 置 复制 到 另 一 个 位 置 时 ， 我 们 只 和 需 输 入 copy source-ur1 destination-ur] 命令 ! 
IFS URL 与 我 们 习惯 的 使 用 方式 略 有 不 同 ， 它 的 大 量 格 式 取 决 于 文件 的 准确 位 置 。 

我 们 使 用 Cisco IFS 命令 完成 的 工作 与 前 面 介绍 IOS 的 一 节 中 用 copy 命令 完成 的 工作 相去 无 几 : 

口 备份 IOS; 

口 升级 IOS ; 

口 查看 文本 文件 。 

接 下 来 ,我们 了 解 一 下 可 用 于 管理 IOS 的 IFS 命令 。 随 后 我 们 将 探讨 配置 文件 ， 但 现在 先 介绍 用 
于 管理 新 思科 IOS 的 基础 命令 。 

口 dir 与 Windows 中 的 dir 命令 相同 ， 可 以 用 于 查看 某 个 目录 下 的 文件 。 输 入 dir， 并 按 下 

回 车 键 ， 默 认 列 出 flash:/ 目录 下 的 文件 。 

口 copy ”这 是 一 个 很 常用 的 命令 ， 常 用 于 升级 、 恢 复 或 备份 IOS。 但 前 面 讲 过 的 ， 使 用 它 时 要 

特别 关注 细节 ， 即 要 复制 的 对 象 是 什么 、 源 文件 来 自 哪 里 、 目 标 文件 要 复制 到 哪里 去 。 
口 more 与 Unix 系统 中 的 more 命令 相同 ， 使 用 这 个 命令 可 以 看 到 一 个 文本 文件 ， 并 且 可 以 在 
闪存 卡 上 查看 此 文件 。 我 们 可 以 使 用 此 命令 检查 配置 文件 或 备份 配置 文件 。 介 绍 实际 配置 时 ， 
我 会 详细 介绍 此 命令 。 

口 show file 这 个 命令 显示 某 个 特定 文件 或 文件 系统 的 特定 信息 ， 但 因为 不 常 被 使 用 而 鲜 为 人 知 。 

口 delete 你 可 能 认为 它 的 作用 就 是 删除 文件 ， 但 对 于 某 些 类 型 的 路 由 器 来 说 ， 它 的 功能 并 不 
是 你 想象 的 那样 。 这 是 因为 即便 是 用 它 摧 毁 了 文件 ， 但 并 不 总 能 在 删除 文件 后 释放 文件 占用 
的 空间 。 这 时 ， 如 果 需 要 真正 收回 此 空间 ， 我 们 还 必须 使 用 squeeze 命令 。 

口 erase/format 在 使 用 这 两 个 命令 时 要 特别 小 心 ， 要 确保 在 复制 文件 时 ， 如 果 有 对 话 框 询问 
你 是 否 删除 文件 系统 ， 一 定 要 回答 no! 注意 ， 路 由 器 所 使 用 的 闪存 类 型 决定 了 闪存 的 驱动 是 
否 可 以 被 执行 删除 操作 。 

D cd/pwd 与 Unix 系统 和 DOS 系统 中 相同 命令 的 功能 相同 ，cd 是 用 于 改变 目录 的 命令 ， 而 

pwd 命令 可 以 用 于 打印 ( 显示 ) 工作 目录 。 

口 mkdir/rmdir 在 某 些 路 由 器 和 交换 机 上 ， 我 们 可 使 用 这 两 个 命令 创建 和 删除 目录 ， 其 mkdir 

命令 用 于 创建 目录 ，rmdir 命令 用 于 删除 目录 。 我 们 可 使 用 cd 和 pwd 命令 进入 这 些 目录 。 
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使 用 思科 IFS 升级 IOS 


我 们 首先 在 名 为 R1 的 ISR 路 由 器 ( 1841 系列 ) 上 使 用 某 些 思科 IFS 命令 。 


我 们 先 从 用 于 验证 默认 目录 的 pwd 命令 开始 讲解 ， 然 后 再 使 用 dir 命令 查验 默认 目录 (flash: 


下 的 内 容 : 
R1#pwd 
flash : 
R1#dir 
Directory of flash:/ 
1 -rw- 13937472 
mz.124-1c.bin 


2 -rw- 1821 
3 -rw- 4734464 
4 -rw- 833024 
5 -rw- 1052160 
6 -rw- 1038 
7 -rw- 102400 
8 -rw- 491213 
9 -rw- 1684577 
ios-3.1.1.27-k9.pkg 
10 -rw- 398305 


1.1.0.154.pkg 


Dec 


20 


20 
20 
20 
20 
20 
20 
20 
20 


20 


2006 


2006 
2006 
2006 
2006 
2006 
2006 
2006 
2006 


2006 


5. 


32071680 bytes total (8818688 bytes free) 
注意 ， 在 这 里 我 们 正在 使 用 一 个 基于 IP 的 IOS ( c1841-ipbase-mz.124-1c.bin )。 看 来 这 个 1841 需 
要 升级 了 。 可 见 思科 在 文件 名 中 加 入 IOS 类 型 是 很 明智 且 讨 人 喜欢 的 。 接 下 来 ， 我 们 需要 使 用 show 
file 命令 (使 用 show flash 命令 也 可 以 ) 检查 一 下 该 文件 在 闪存 中 的 占用 空间 : 


R1#show file info flash:cl1841-ipbase-mz.124-lc.bin 


flash:c1841-ipbase-mz.124-1c.bin: 


type is image (elf) {] 


+00 : 


+00 : 
+00 : 
+00 
+00 : 
+00 : 
+00 : 
+00 : 
+00 : 


+00 : 


C1841-ipbase- 


sdmconfig-18xx.cfg 
sdm.tar 

es.tar 

Common .tar 

home. shtml 

home .tar 

128MB .sdf 
securedesktop- 


sslclient-win- 


file size js 13937472 bytes, run size js 14103140 bytes 


Runnable image, entry point Ox8000F000, run from ram 


/) 


根据 上 面 的 输出 ， 当 我 们 将 大 小 超过 21 MB 的 新 IOS 文件 ( c1841-advipservicesk9-mz.124-12.bin ) 
复制 到 闪存 中 时 ， 现 存 的 IOS 文件 将 被 删除 。 我 们 将 会 用 到 delete 命令 ,但 要 记 住 的 是 ,重启 路 由 
器 之 前 ， 我 们 对 闪存 中 任意 文件 的 操作 ， 哪 怕 是 错误 性 操作 ， 都 不 会 被 反映 出 来 。 因 此 ， 正 如 我 前 面 
所 强调 过 的 ， 在 这 里 进行 操作 需要 万 分 小 心 ! 
Ril#delete flash:c1841-ipbase-mz.124-1c.bin 
Delete filename [c1841-ipbase-mz.124-1c.bin]?[enter] 
Delete flash:c1841-ipbase-mz.124-1c.bin? [confirm] [enter] 


R1#sh flash 


-#- --length-- ----- date/time 
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1 1821 Dec 20 2006 20:11:24 +00:00 sdmconfig-18xx.cfg 

2 4734464 Dec 20 2006 20:12:00 +00:00 sdm.tar 

3 833024 Dec 20 2006 20:12:24 +00:00 es.tar 

4 1052160 Dec 20 2006 20:12:50 +00:00 common.tar 

5 1038 Dec 20 2006 20:13:10 +00:00 home.shtml 

6 102400 Dec 20 2006 20:13:30 +00:00 home.tar 

7 491213 Dec 20 2006 20:13:56 +00:00 128MB.sdf 

8 1684577 Dec 20 2006 20:14:34 +00:00 securedesktop-ios-3.1.1.27-k9.pkg 

9 398305 Dec 20 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg 

22757376 bytes available (9314304 bytes used) 

Ri#sh file info flash:c1841-ipbase-mz.124-1lc.bin 

%Error opening flash:c1841-ipbase-mz.124-1c.bin (File not found) 

Ri1# 

在 上 面 的 操作 中 ， 我 们 先 使 用 删除 命令 删除 了 现存 的 IOS 文件 ， 然 后 通过 show flash 和 show 
file 命令 验证 了 删除 结果 。 下 面 我 们 使 用 copy 命令 添加 一 个 新 文件 ， 但 需要 再 次 强调 的 是 ， 操 作 过 
程 一 定 要 小 心 谨慎 ， 因 为 这 一 操作 方式 没有 前 面 介绍 的 第 一 种 方式 安全 。 

R1#copy tftp://1.1.1.2//cl184l-advipservicesk9-mz.124-12.bin/ flash:/ 

cl1841-advipservicesk9-mz.124-12.bin 

Source filename [/c1841-advipservicesk9-mz.124-12.bin/]?[enter] 

Destination filename [ci841-advipservicesk9-mz.124-12.bin]?[enter] 

Loading /cl1841-advipservicesk9-mz.124-12.bin/ from 1.1.1.2 (via 

FastEthernetO0/0): LSIIIIIIIIIIIIIIIIIIIEIIIIIIIIIIEIIIII 

[output cut] 

ETT 

[OK - 22103052 bytes] 

22103052 bytes copied in 72.008 secs (306953 bytes/sec) 

Ri#sh flash 

-#- --length-- ----- date/time------ path 

1821 Dec 20 2006 20:11:24 +00:00 sdmconfig-18xx.cfg 
4734464 Dec 20 2006 20:12:00 +00:00 sdm.tar 
833024 Dec 20 2006 20:12:24 +00:00 es.tar 
1052160 Dec 20 2006 20:12:50 +00:00 common.tar 
1038 Dec 20 2006 20:13:10 +00:00 home.shtm] 
102400 Dec 20 2006 20:13:30 +00:00 home.tar 
491213 Dec 20 2006 20:13:56 +00:00 128MB.sdf 
1684577 Dec 20 2006 20:14:34 +00:00 securedesktop-ios-3.1.1.27-k9.pkg 
398305 Dec 20 2006 20:15:04 +00:00 sslclient-win-1.1.0.154.pkg 
10 22103052 Mar 10 2007 19:40:50 +00:00 cl1841-advipservicesk9-mz.124-12.bin 
651264 bytes available (31420416 bytes used) 
R1# 


我 们 还 可 以 使 用 show file 命令 检查 被 复制 文件 的 信息 : 


MD oem 和 上山 有情 
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Ri#sh file information flash:c1841-advipservicesk9-mz.124-12.bin 
flash:c1841-advipservicesk9-mz.124-12.bin: 
type is image (elf) [{] 
file size is 22103052 bytes, run size is 22268736 bytes 
Runnable image, entry point Ox8000F000, run from ram 
记 住 , 在 路 由 器 启动 时 ，IOS 将 被 加 载 到 RAM 中 展开 、 运 行 ， 因 此 新 拷 人 的 IOS 只 能 在 重新 启 
动 路 由 器 时 运行 。 
在 此 强烈 建议 读者 在 实际 的 路 由 器 上 试用 一 下 思科 IFS 命令 ， 去 感 党 其 中 的 不 同 。 正 如 前 面 提 到 
的 ， 这 一 操作 体验 一 定 会 给 你 某 些 意 想不到 的 收获 。 


本 章 多 次 强调 一 定 要 “以 安全 的 方式 ”来 操作 。 在 处 理 闪 存 的 操作 中 ， 我 曾 因 
提示 。 不 够 小 心 有 过 沉痛 的 教训 。 再 次 提醒 读者 ， 凡 涉及 闪存 的 操作 一 定 要 小 心 谨慎 1 


ISR 路 由 器 最 吸引 人 的 特点 是 采用 了 物理 内 存 卡 ， 在 路 由 器 的 前 面板 或 后 面板 上 我 们 都 能 找到 它 
们 的 身影 。 拔 出 闪存 卡 ， 并 将 它 插入 PC 机 中 适当 的 插 权 ， 此 卡 就 会 被 系统 识别 ， 显 示 为 一 个 驱动 器 。 
此 时 ,我 们 就 可 以 对 卡 上 的 文件 进行 添加 、 修 改 和 删除 操作 。 完 成 后 ,我 们 只 需 将 闪存 卡 插 回 路 由 器 
并 接 通电 源 ， 升 级 便 完 成 了 。 真 棒 ! 


7.5 备份 和 恢复 思科 配置 


我 们 对 路 由 器 配置 进行 的 任何 修改 都 会 被 保存 在 运行 配置 文件 中 。 如 果 在 对 运行 配置 完成 修改 
后 ， 没 有 执行 copy run start 命令 ， 那 么 这 个 修改 就 会 在 路 由 器 重新 启动 或 掉 电 后 丢失 。 所 以 ， 你 
可 能 需要 对 配置 进行 备份 ， 以 防 路 由 器 或 交换 机 因 异 常 无 法 使 用 。 即 使 机 器 的 运转 一 切 正常 ， 将 修改 
的 配置 内 容 作为 参考 和 归档 文件 保存 起 来 也 是 一 个 好 的 习惯 。 

随后 的 几 节 将 讨论 如 何 复制 路 由 器 的 配置 文件 到 TFTP 服务 器 ， 以 及 如 何 恢复 配置 。 


7.5.1 备份 思科 路 由 器 配置 文件 


要 将 配置 文件 从 路 由 器 复制 到 TFTP 服务 器 上 ， 我 们 可 以 使 用 copy running-config tftp 或 
copy startup-config tftp 命令 。 这 两 个 命令 都 可 以 实现 对 配置 文件 的 备份 ， 不 同 的 是 一 个 备份 当 
前 正在 DRAM 中 运行 的 配置 文件 ， 而 另 一 个 备份 保存 在 NVRAM 中 的 配置 文件 。 

1. 验证 当前 配置 

要 验证 保存 在 DRAM 中 的 配置 文件 ， 我 们 可 以 使 用 show running-config 命令 (可 简写 为 sh 
run )， 具 体操 作 如 下 : 

Router#show running-config 

Building configuration... 


Current configuration : 776 bytes 
1 


version 12.4 


当前 的 配置 信息 表明 ， 目 前 路 由 器 运行 的 IOS 版 本 为 12.4。 
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2. 验证 已 存储 的 配置 

接 下 来 , 我 们 需要 检查 一 下 在 NVRAM 中 保存 的 配置 文件 。 要 查看 这 一 配置 文件 , 我 们 可 以 使 用 
show startup-config 命令 (简写 为 sh start )， 操作 如 下 : 

Router#show startup-config 

Using 776 out of 245752 bytes 

! 

version 12.4 

上 述 输出 的 第 一 行 给 出 了 被 保存 配置 文件 所 占用 的 空间 。 在 此 示例 中 , NVRAM 的 大 小 为 245 KB 
(再 强调 一 次 ， 在 操作 ISR 路 由 器 时 ， 我 们 应 该 使 用 show version 命令 ,这样 更 容易 查看 内 存 )， 而 
配置 文件 只 占用 了 776 B。 

如 果 不 能 确保 上 述 两 个 配置 文件 的 内 容 是 相同 的 并 且 运 行 配置 文件 是 你 想 使 用 的 , 这 时 可 以 使 用 
copy running-config startup-config 命令 ， 以 确保 两 个 文件 的 内 容 是 相同 的 。 接 下 来 我 们 详细 
讨论 这 个 内 容 。 

3. 复制 当前 配置 到 NVRAM 

通过 将 运行 配置 备份 到 NVRAM 中 , 我 们 就 可 确保 路 由 器 重启 时 总 是 按照 当前 的 运行 配置 文件 进 
行 配置 ， 具 体 的 操作 如 下 所 示 。 在 IOS 版 本 12.0 中 ,你 将 收 到 提示 被 要 求 确认 想 要 使 用 的 文件 名 。 

Router#copy running-config startup-config 

Destination filename [startup-config]?[enter] 

Building configuration... 

[OK] 

Router# 

显示 文件 名 提示 的 原因 是 新 版 本 中 在 使 用 copy 命令 上 增加 了 太 多 的 可 选用 法 : 


Router#copy running-config ? 


archive: Copy to archive: file system 

flash: Copy to flash: file system 

ftp: Copy to ftp: file system 

http: Copy to http: file system 

https: Copy to https: file system 

ips-sdf Update (merge with) IPS signature configuration 
null]l: Copy to null: file system 

nvram: Copy to nvram: file system 

rcp: Copy to rcp: file system 

running-config Update (merge with) current system configuration 
scp: Copy to scp: file system 

startup-config Copy to startup configuration 

syslog: Copy to syslog: file system 

system: Copy to system: file system 

tftp: Copy to tftp: file system 

xmodem: Copy to xmodem: file system 


ymodem: Copy to ymodem: file system 
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下 面 我 们 马上 介绍 copy 命令 的 使 用 。 

4. 复制 配置 到 TFTP 服务 器 

一 旦 将 文件 复制 到 NVRAM 中 , 我们 就 可 以 通过 copy running-config tftp (简写 为 copy run 
tftp ) 命令 将 配置 文件 备份 到 TFTP 服务 器 上 ， 操 作 如 下 : 

Router#copy running-config tftp 

Address or name of remote host []?1.1.1.2 

Destination filename [router-confg]?todd-confg 

11 

776 bytes copied in 0.800 secs: (970 bytes/sec) 

Router# 

在 这 个 示例 中 , 之 所 以 要 将 目标 文件 命名 为 todd-config, 是 因为 我 还 没有 设置 该 路 由 器 的 主机 名 。 
如 果 已 为 该 路 由 器 配置 主机 名 , 则 copy 命令 会 自动 将 主机 名 加 -config 扩展 作为 目标 文件 的 文件 名 。 


7.5.2 ”恢复 思科 路 由 器 的 配置 


如 果 已 经 对 路 由 器 的 运行 配置 进行 了 修改 , 但 又 想 将 其 恢复 为 启动 配置 ， 最 简单 的 做 法 就 是 使 用 
copy startup-config running-config 命令 (可 简写 为 copy start run )。 当 然 , 我 们 也 可 以 使 
用 思科 老 版 本 的 命令 config mem 恢复 此 配置 。 显 然 要 完成 这 样 的 操作 ， 前 提 是 在 修改 配置 前 曾 将 运 
行 配 置 复 制 到 NVRAM。 

如 果 已 经 作为 第 二 备份 将 路 由 器 的 配置 文件 复制 到 TFTP 服务 器 ， 我 们 就 可 以 使 用 copy tftp 
running-config 命令 ( 可 简写 为 copy tftp run ) 人 恢复 当前 配置 ,或 使 用 copy tftp startup-config 
命令 (可 简写 为 copy tftp start ) 恢复 NVRAM 中 的 配置 (提供 同样 功能 的 老 版 本 命令 为 config 
net )， 具 体操 作 如 下 : 

Router#copy tftp running-config 

Address or name of remote host []?1.1.1,2 

Source filename []?todd-confg 

Destination filename[running-config]?[enter] 

Accessing tftp://1.1.1.2/todd-confg... 

Loading todd-confg from 1.1.1.2 (via FastEthernet0/0): |! 

[OK - 776 bytes] 

776 bytes copied in 9.212 secs (84 bytes/sec) 

Router# 

*Mar 7 17:53:34.071: %SYS-5-CONFIG_I: Configured from 

tftp://1.1.1.2/todd-confg by console 

Router# 

配置 文件 是 一 个 ASCII 的 文本 文件 ， 因 此 在 将 保存 在 TFTP 服务 器 上 的 配置 复制 回路 由 器 之 前 ， 
我 们 可 以 使 用 任意 文本 编辑 器 修改 此 文件 。 最 后 还 应 该 注意 ， 命 令 中 使 用 了 被 修改 为 
tftp://1.1.1.2/todd-config 的 URL 表示 形式 。 这 就 是 前 面 介 绍 过 的 Cisco IFS， 下面 我 们 就 将 使 
用 这 个 系统 快速 备份 和 恢复 配置 文件 。 


7.5 备份 和 恢复 思科 配置 219 


sti 


当 某 路 由 器 的 配置 文件 刚 被 删除 且 又 重新 启动 ， 我 们 需要 从 TFTP 服务 器 上 复 
注意 ” 制 或 修改 整合 配置 文件 到 路 由 器 的 RAM 中 时 ， 注 意 ， 上 默认 情况 下 路 由 器 的 接口 是 
关闭 的 ， 我 们 必须 使 用 no shutdown 命令 手动 启用 每 个 需要 进行 网 络 连接 的 接口 。 


7.5.3 ”删除 配置 
要 删除 思科 路 由 器 上 的 启动 配置 文件 , 我 们 可 以 使 用 命令 erase startup-config, 具体 操作 如 下 : 


Router#erase startup-config 
Erasing the nvram filesystem will remove all configuration files! 
Continue? [confirm] [enter] 
[OK] 
Erase of nvram: complete 
*Mar 7 17:56:20.407: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram 
Router#reload 
System configuration has been modified. Save? [yes/no]:n 
Proceed with reload? [confirm] [enter] 
*Mar 7 17:56:31.059: %SYS-5-RELOAD: Reload requested by console. 
Reload Reason: Reload Command . 
这 一 命令 将 删除 路 由 器 上 NVRAM 中 的 内 容 。 此 时 如 果 在 特权 模式 下 输入 reload 并 选择 不 保存 
所 做 的 修改 ， 路 由 器 被 重新 启动 时 将 进入 设置 模式 。 


7.5.4 使 用 思科 IFS 管理 路 由 器 的 配置 


老 版 本 的 可 靠 copy 命令 依然 可 用 ， 而 且 我 也 推荐 大 家 使 用 它 。 但 是 ， 对 于 思科 IFS 中 命令 的 使 
用 方式 读者 也 需要 有 所 了 解 。 首 先 ， 我 们 使 用 show file 命令 查看 NVRAM 和 RAM 中 的 内 容 : 

R3#show file information nvram:startup-config 

nvram:startup-config: 

type is config 

R3#cd nvram: 

R3#pwd 

nvram:/ 

R3#dir 

Directory of nvram:/ 


190 -rw- 830 <no date> startup-config 

191 ,==== 5 <no date> private-config 

192 -rw- 830 <no date> underlying-config 
1 -rw- 0 <no date> ifIndex-table 


196600 bytes total (194689 bytes free) 
以 上 就 是 用 于 显示 NVRAM 中 内 容 的 所 有 命令 。 但 是 , 这 一 显示 内 容 并 没 给 我 们 太 多 帮助 。 接 下 
来 ,我 们 看 一 下 RAM 中 的 内 容 : 
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R3#cd system : 


R3#pwd 

system:/ 

R3#dir ? 
/all List all files 
/recursive List files recursively 
all-filesystems List files on all filesystems 
archive: Directory or file name 
cns: Directory or file name 
flash: Directory or file name 
null: Directory or file name 
nvram: Directory or file name 
system: Directory or file name 
xmodem: Directory or file name 
ymodem: Directory or file name 
<Cr> 

R3#dir 


Directory of system:/ 


3 dr-x 0 <no date> 1ib 
33 dr-x 0 <no date> memory 

-rw- 750 <no date> running-config 
2 dr-x 0 <no date> vfiles 


同样 , 这 里 也 没有 太 多 令 人 兴奋 的 内 容 。 我们 使 用 一 下 思科 IFS 的 copy 命令 , 将 文件 从 TFTP 主机 
复制 到 RAM 中 。 首先 , 我 们 尝试 使 用 近 10 年 来 经 常 被 用 到 的 老 版 本 config net 命令 完成 同样 的 工作 : 

R3#config net 

Host or network configuration file [host]?[enter] 

This command has been replaced by the comand: 

‘Copy <url> System:Vrunning-config' 

Address or name of remote host [255.255.255.255]? 

尽管 命令 运行 结果 显示 此 命令 已 经 被 新 的 URL 命令 代替 ,但 此 老 版 本 的 命令 仍然 可 用 。 下 面 我 
们 就 来 试用 一 下 思科 IFS 的 命令 : 

R3#copy tftp://1.1.1.2/todd-confg system://running-config 

Destination filename [running-config]?[enter] 

Accessing tftp://1.1.1.2/todd-confg...Loading todd-confg from 1.1.1.2 

(via FastEthernet0/0): ! 

[OK - 776 bytes] 

[OK] 

776 bytes copied in 13.816 secs (56 bytes/sec) 

R3# 

*Mar 10 22:12:59.819: %SYS-5-CONFIG _ I: 

Configured from tftp://1.1.1.2/todd-confg by console 


7.6 使 用 思科 发 现 协议 221 


也 许 我 们 应 该 承认 这 一 方式 要 比 使 用 copy tftp run 命令 更 为 容易 一 一 思科 就 是 这 么 认为 的 ， 
因此 我 为 什么 要 反对 呢 ? 一 切 可 能 就 只 是 习惯 上 的 问题 。 


7.6 ”使 用 思科 发 现 协 议 


CDP (Cisco Discovery Protocol， 思科 发 现 协 议 ) 是 由 思科 设计 的 专用 协议 ， 它 可 以 帮助 管理 员 收 
集 关 于 本 地 附件 和 远程 连接 设备 的 相关 信息 。 通 过 CDP , 我们 可 以 获取 相 邻 设备 上 的 硬件 和 协议 信息 ， 
这 些 信 息 可 用 于 排除 故障 和 记录 网 络 信息 。 

下 面 的 几 节 将 对 CDP 的 定时 器 和 用 于 验证 网 络 的 CDP 命令 展开 讨论 。 


7.6.1 获取 CDP 定时 器 和 保持 时 间 的 相关 信息 


命令 show cdp (可 简写 为 sh cdp ) 提供 了 与 两 个 CDP 全 局 参数 相关 的 信息 ， 这 两 个 参数 都 可 
以 配置 在 思科 设备 上 : 
口 CDP 定时 器 ， 描 述 由 所 有 活动 接口 将 CDP 分 组 发 送出 去 的 时 间 间 隔 ; 
口 CDP 保持 时 间 ， 描 述 接收 自 相 邻 设备 的 CDP 分 组 应 被 当前 设备 保持 的 时 间 长 度 。 
思科 路 由 器 和 思科 交换 机 都 使 用 相同 的 参数 。 
下 面 给 出 了 Corp 路 由 器 的 CDP 输出 : 
Corp#sh cdp 
Global CDP information: 
Sending CDP packets every 60 seconds 
Sending a holdtime value of 180 seconds 
Sending CDPv2 advertisements is enabled 
在 路 由 器 上 我 们 可 以 使 用 全 局 命令 cdp holdtime 和 cdp timer 配置 CDP 保持 时 间 和 定 
时 器 : 
Corp(config)#cdp ? 


advertise-v2 CDP sends version-2 advertisements 

holdtime Specify the holdtime (in sec) to be sent in packets 

]og Log messages generated by CDP 

run Enable CDP 

source-interface Insert the interface's IP in all CDP packets 

timer Specify rate (in sec) at which CDP packets are sent run 


CorpCconfig)#cdp holdtime ? 
<10-255> Length of time (in sec) that receiver must keep this packet 
Corp(config)#cdp timer ? 
<5-254> Rate at which CDP packets are sent (in sec) 
在 路 由 器 的 全 局 配置 模式 下 ， 我 们 可 以 使 用 no cdp run 命令 彻底 地 关闭 CDP。 如 果 要 在 路 由 器 
的 某 个 接口 上 关闭 或 打开 CDP， 我 们 可 以 使 用 no cdp enable 和 cdp enable 命令。 下 面 马上 就 会 
介绍 这 些 内 容 。 
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7.6.2 ”收集 邻居 信息 


命令 show cdp neighbor (可 简写 为 sh cdp nei ) 用 于 显示 直接 相连 设备 的 相关 信息 。 记 住 
CDP 的 分 组 是 不 会 被 思科 交换 机 转发 的 ， 因 此 CDP 只 能 获取 直接 相连 接 设备 上 的 相关 信息 。 这 就 是 
说 ， 如 果 路 由 器 连接 有 一 台 交 换 机 ， 那 么 位 于 交换 机 后 面 的 那些 设备 上 的 信息 就 都 不 能 通过 CDP 来 
获取 。 

下 面 是 在 Corp 2811 路 由 器 上 使 用 show cdp neighbor 命令 后 显示 的 输出 内 容 : 

Corp#sh cdp neighbors 

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge 

S - Switch，H - Host, I - IGMP, r - Repeater 

Device ID Local Intrfce Holdtme Capability Platform Port ID 


ap Fas 0/1 165 Ty 工 AIR-AP124 Fas 0 

R2 Ser 0/1/0 140 RSI 2801 Ser 0/2/0 
R3 Ser 0/0/1 157 RSI 1841 Ser 0/0/1 
R1 Ser 0/2/0 154 RSI 1841 Ser 0/0/1 
R1 Ser 0/0/0 154 RSI 1841 Ser 0/0/0 
COrp# 


这 里 ， 我 们 使 用 控制 台电 缆 直 接连 接 Corp 路 由 器 ， 此 路 由 器 与 另外 4 个 设备 直接 相连 。 我 们 到 
R1 路 由 器 建立 了 两 个 连接 。Device ID (设备 ID ) 给 出 的 是 所 连接 设备 的 主机 名 ，Local Interface 
(本 地 接口 ) 给 出 的 是 我 们 的 接口 ， 而 Port ID (端口 ID ) 则 是 直接 相连 的 远程 设备 上 的 接口 。 我 们 
所 能 看 到 的 内 容 都 是 与 我 们 直接 相连 设备 的 。 

表 7-5 汇 总 了 show cdp neighbor 命令 所 能 显示 的 设备 信息 。 


表 7-5 ”命令 show cdp neighbor 的 输出 内 容 


字 上段 描述 

Device ID 指 直 接 相 连 设备 的 主机 名 

Local Interface 指 接收 CDP 分 组 的 端口 或 接口 

Ho1dtime 指 在 没有 收 到 其 他 CDP 分 组 时 ， 路 由 器 在 丢弃 收 到 的 信息 之 前 将 此 数据 包 要 保 
存 的 时 间 长 度 

Capability 描述 相 邻 设备 比如 路 由 器 、 交 换 机 或 中 继 器 ) 的 产品 性 能 。 产 品 性 能 码 会 在 
命令 输出 的 顶部 列 出 

platform 指 直 接 相 连 的 思科 设备 的 类 型 。 在 上 面 示 例 的 输出 中 ，Corp 路 由 器 直接 连接 了 
一 台 1240AP、 一 台 2801 路 由 器 和 两 台 1841 路 由 器 

Port ID 指 相 邻 设备 上 用 于 接收 CDP 组 播 分 组 的 端口 或 接口 


仔细 查看 show cdp nerighbors 命令 的 输出 结果 ， 并 从 中 了 解 相 邻 的 设备 属 
注意 性 ( 即 产品 性 能 ， 比 如 交换 机 或 路 由 器 的 性 能 )、 型 号 〈( 即 平台 )、 设 备 的 连接 端口 
( 指 本 地 端口 )， 以 及 相 邻 设备 上 的 连接 端口 ( 即 Port ID )， 这 些 都 很 重要 。 
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另 一 个 用 于 显示 相 邻 设备 信息 的 命令 是 show cdp neighbor detail (可 简写 为 show cdp nei 
de )。 此 命令 在 路 由 器 或 交换 机 上 都 可 运行 ， 它 将 给 出 与 运行 命令 的 设备 相连 的 每 一 台 设备 的 详细 信 
息 。 下 面 给 出 了 路 由 器 输出 示例 : 

Corp#sh cdp neighbors detail 


Device ID: ap 

Entry address(es): 10.1.1.2 

Platform: cisco AIR-AP1242AG-A-K9 “， Capabilities: Trans-Bridge IGMP 
Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0 
Holdtime : 122 sec 


Version : 
Cisco IOS Software, C1240 Software (C1240-K9W7-M), Version 12.3(8)JEA, 
RELEASE SOFTWARE (fc2) 


Technical Support: http://www.cisco.com/techsupport 
Copyright (c) 1986-2006 by Cisco Systems, Inc. 
Compiled Wed 23-Aug-06 16:45 by kellythw 


advertisement version: 2 
Duplex: full 
Power drawn: 15.000 Watts 
Device ID: R2 
Entry address(es): 
IP address: 10.4.4.2 
Platform: Cisco 2801, Capabilities: Router Switch IGMP 
Interface: Serial0/1/0, Port ID (outgoing port): Serial0/2/0 
Holdtime : 135 sec 


Version : : 

Cisco IOS Software, 2801 Software (C2801-ADVENTERPRISEK9-M), 
Experimental Version 12.4(20050525:193634) [jezhao-ani 145] 

Copyright (c) 1986-2005 by Cisco Systems, Inc. 

Compiled Fri 27-May-05 23:53 by jezhao 


advertisement version: 2 
VTP Management Domain: '"' 
Device ID: R3 
Entry address(es): 

IP address: 10.5.5.1 
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Platform: Cisco 1841， Capabilities: Router Switch IGMP 
Interface: Serial0/0/1, Port ID (outgoing port): Serial0/0/1 
Holdtime : 152 sec 


Version : 

Cisco IOS Software, 1841 Software (C1841-IPBASE-M), Version 12.4(1c), 
RELEASE SOFTWARE (fc1) 

Technical Support: http://ww.cisco.com/techsupport 

Copyright (c) 1986-2005 by Cisco Systems, Inc. 

Compiled Tue 25-0Oct-05 17:10 by evmiller 


advertisement version: 2 
VTP Management Domain: '"' 


[output cut] 
Corp# 


从 上 面 的 输出 中 我 们 可 以 了 解 些 什 么 ? 首先 , 我 们 可 以 得 到 所 有 直接 相连 设备 的 主机 名 和 IP 地 
址 。 除了 可 以 提供 与 show cdp neighbor 命令 (参见 表 7-5 ) 相同 的 内 容 外 , 命令 show cdp neighbor 
detail1 还 将 提供 相 邻 设备 上 的 IOS 版 本 信息 。 


记 住 在 此 只 能 查看 直接 相连 的 设备 的 全 地址 。 


命令 show cdp entry * 和 命令 show cdp neighbors detail 提供 同样 的 信息 。 下 面 就 是 路 由 
器 运行 show cdp entry * 命 令 得 到 的 输出 示例 : 

Corp#sh cdp entry * 

Device ID: ap 

Entry address(es): 

Platform: cisco AIR-AP1242AG-A-K9 ， Capabilities: Trans-Bridge IGMP 

Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0 

Holdtime : 160 sec 


Version : 

Cisco IOS Software, C1240 Software (C1240-K9W7-M), Version 12.3(8)JEA, 
RELEASE SOFTWARE (fc2) 

Technical Support: http://ww.cisco.com/techsupport 

Copyright (c) 1986-2006 by Cisco Systems, Inc. 

Compiled Wed 23-Aug-06 16:45 by kellythw 


advertisement version: 2 
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Duplex: fuill 

Power drawn: 15.000 Watts 

Device ID: R2 

Entry address(es): 
IP address: 10.4.4.2 

Platform: Cisco 2801, Capabilities: Router Switch IGMP 
--More-- 

[output cut] 


命令 show cdp neighbors detail 和 show cdp entry * 之 间 并 不 存在 任何 不 同 。 但 是 ， 命 令 
show cdp entry * 提 供 了 两 个 专用 选项 ， 而 命令 show cdp neighbors detai1 则 没有 : 
Corp#sh cdp entry * ? 
protocol Protocol information 
version Version information 
| Output modifiers 
<Cr> 
Corp#show cdp entry * protocols 
Protocol information for ap : 
IP address: 10.1.1.2 
Protocol information for R2 : 
IP address: 10.4.4.2 
Protocol information for R3 : 
IP address: 10.5.5.1 
Protocol information for Rl : 
IP address: 10.3.3.2 
Protocol information for R1 : 
IP address: 10.2.2.2 
由 上 面 的 输出 可 以 看 出 ， 命 令 show cdp entry * protocols 仅 可 以 显示 出 每 个 直接 相连 的 设 
备 的 全 地 址 。 命令 show cdp entry * version 将 只 负责 给 出 每 个 直接 相连 的 设备 上 运行 的 IOS 版 
本 信息 ， 具 体 输出 内 容 如 下 : 
Corp#show cdp entry * version 
Version information for ap : 
Cisco IOS Software, C1240 Software 〈《C1240-K9W7-M) ，Version 
12.3(8)JEA, RELEASE SOFTWARE (fc2) 
Technical Support: http://www.cisco.com/techsupport 
Copyright (c) 1986-2006 by Cisco Systems, Inc. 
Compiled Wed 23-Aug-06 16:45 by kellythw 


Version information for R2 : 
Cisco IOS Software，2801 Software (C2801-ADVENTERPRISEK9-M), 
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Experimental Version 12.4(20050525:193634) [jezhao-ani 145] 
Copyright (c) 1986-2005 by Cisco Systems, Inc. 
Compiled Fri 27-May-05 23:53 by jezhao 


Version information for R3 : 
Cisco IOS Software, 1841 Software (C1841-IPBASE-M), Version 12.4(1c), 
RELEASE SOFTWARE (fc1) 
Technical Support: http://www.cisco,.com/techsupport 
Copyright (c) 1986-2005 by Cisco Systems, Inc. 
Compiled Tue 25-0ct-05 17:10 by evmiller 


--More-- 
[output cut] 


尽管 show cdp neighbors detai]1 和 show cdp entry 两 个 命令 非常 相似 ,但 命令 show cdp entry 
只 人 允许 将 每 个 直接 相连 设备 的 信息 显示 在 一 行内 ， 而 命令 show cdp neighbor detail1 . 则 不 然 。 接 
下 来 ， 我 们 介绍 一 下 show cdp traffic 命令 。 


7.6.3 ”获取 接口 上 的 流量 信息 


命令 show cdp traffic 可 用 于 显示 有 关 接 口 流 量 的 信息 ， 包 括 发 送 和 接收 到 的 CDP 分 组 的 数 
量 ， 以 及 CDP 错误 。 
下 面 给 出 了 在 Corp 路 由 器 上 使 用 show cdp traffic 命令 后 的 输出 : 
Corp#sh cdp traffic 
CDP counters : 
Total packets output: 911, Input: 524 
Hdr syntax: 0, Chksum error: 0, Encaps failed: 2 
No memory: 0, Invalid packet: 0, Fragmented: 0 
CDP version 1 advertisements output: 0, Input: 0 
CDP version 2 advertisements output: 911, Input: 524 
可 见 , 与 路 由 器 上 的 其 他 信息 相 比 这 些 信息 并 不 是 最 重要 的 , 但 它 提供 了 一 个 设备 已 经 发 送 和 接 
收 CDP 分 组 的 数量 。 


7.6.4 获取 端口 和 接口 的 相关 信息 


命令 show cdp interface (简写 为 sh cdp inter ) 可 用 于 显示 路 由 器 接口 或 交换 机 端口 上 的 
CDP 状态 。 

正如 前 面 介 绍 的 ,我们 可 以 在 路 由 器 上 使 用 no cdp run 命令 完全 关闭 CDP。 但 是 需要 注意 的 是 ， 
我 们 也 可 以 用 no cdp enable 命令 基于 每 个 接口 关闭 CDP。 要 启用 端口 上 的 CDP, 我 们 可 以 使 用 cdp 
enable 命令 。 在 默认 状态 下 ， 所 有 端口 和 接口 的 CDP 都 是 cdp enable 的 。 

在 路 由 器 上 ， 命 令 show cdp interface 可 以 显示 每 个 使 用 CDP 的 接口 的 信息 ， 包 括 每 个 接口 
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上 的 线路 封装 类 型 、 定 时 器 以 及 保持 时 间 。 下 面 就 是 一 个 在 ISR 路 由 器 上 运行 此 命令 的 输出 示例 : 
Corp#sh cdp interface 
FastEthernet0/0 is administratively down, line protocol is down 
Encapsulation ARPA 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
FastEthernet0/1 is up, line protocol is up 


Encapsulation ARPA 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 

Serial10/0/0 is up, line protocol is up 
Encapsulation HDLC 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 

Serial0/0/1 is up, line protocol is up 
Encapsulation HDLC 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 

Serial0/1/0 is up, line protocol is up 
Encapsulation HDLC 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 

Serial0/2/0 is up, line protocol is up 
Encapsulation HDLC 


Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
由 于 这 个 命令 总 能 给 出 接口 的 工作 状态 ， 因 此 这 里 输出 内 容 会 经 常 被 用 到 。 如 果 需 要 将 路 由 器 上 
某 个 接口 的 CDP 关闭 ， 我 们 可 以 在 接口 配置 模式 下 使 用 no cdp enable 命令 ; 
Corp#config t 
Corp(config)#int s0/0/0 
Corp(config-if)#no cdp enable 
Corp(config-if)#do show cdp interface 
FastEthernet0/0 is administratively down, line protocol is down 
Encapsulation ARPA 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
FastEthernet0/1 is up, line protocol is up 
Encapsulation ARPA 
Sending CDP packets every 60 seconds 
Holdtime 1s 180 seconds 
Serial0/0/1 is up, line protocol is up 
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Encapsulation HDLC 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds | 
Serial0/1/0 is up, line protocol is up 
Encapsulation HDLC 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
Serial0/2/0 is up, line protocol is up 
Encapsulation HDLC 
Sending CDP packets every 60 seconds 
Holdtime is 180 seconds 
Corp(Cconfig-if)# 
注意 ， 上 面 的 输出 没有 给 出 有 关 串 口 0/0/0 的 信息 。 要 想 获得 有 关 串 口 0/0/0 的 信息 ， 我 们 就 必须 
在 串口 0/0/0 上 执行 cdp enable 命令 ， 这 样 在 随后 的 输出 中 才 会 看 到 有 关 串 口 0 的 内 容 : 
Corp(config-if)#cdp enable 
Corp(Cconfig-1if)#^Z 
Corp# 


CDP 能 帮助 拯救 生命 ! 


Karen 刚刚 受聘 于 得 克 萨 斯 州 达拉斯 市 的 一 家 大 医院 ， 出 任 首 席 网 络 顾问 。 医 院 希 望 地 能 够 
应 对 网 络 中 出 现 的 任何 问题 。 但 真正 的 压力 并 不 在 这 里 ,她 唯一 担忧 的 是 ， 网 络 的 瘫 痰 会 直接 影 
响 人 们 的 康复 治疗 。 这 将 关系 到 病人 的 生 与 死 ! 

开始 时 Karen 的 工作 很 顺利 , 但 不 久 网 络 出 现 了 一 些 问题 。 为 了 排除 网 络 故 障 ， 她 向 一 名 助 
理 管 理 员 索要 网 络 连 接 图 。 这 个 人 却 告诉 她 ， 前 任 的 首席 管理 员 (刚刚 被 解聘 ) 带 走 了 网 络 连 接 
图 ， 而 现在 没有 人 能 再 找 回 这 些 连接 图 ! 

医生 们 每 隔 几 分 钟 就 打 来 电话 ， 因 为 网 络 不 能 为 他 们 提供 治疗 病人 所 需要 的 信息 。 那 么 她 现 


在 该 怎么 办 ? 

这 时 CDP 可 以 大 显 身 手 了 ! 感谢 上 帝 ， 这 家 医院 所 使 用 的 路 由 器 和 交换 机 全 部 都 是 思科 的 ， 
并 且 在 所 有 思科 设备 上 CDP 都 是 默认 开启 的 。 此 外 ， 值 得 庆幸 的 是 那个 刚刚 被 解聘 的 心怀 不 满 
的 管理 员 并 没 在 离开 医院 之 前 关闭 任 一 设备 上 的 CDP。 

Karen 此 时 所 能 做 的 就 是 通过 show cdp neighbor detail 命令 找 出 每 个 设备 的 信息 ， 并 据 
此 绘制 出 医院 的 网 络 连 接 图 ， 从 而 帮助 拯救 生命 ! 

接 下 来 令 人 困扰 的 主要 问题 将 是 网 络 中 所 有 设备 的 访问 密码 。 最 好 的 方式 就 是 找 回 密码 ， 否 
则 就 只 能 在 设备 上 进行 密码 恢复 了 。 

所 以 ， 使 用 CDP 吧 ， 它 在 菜 些 特定 的 情况 下 ， 能 够 帮助 我 们 胡 救 某 些 人 的 生命 ! 

这 是 一 个 真实 的 故事 。 
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7.6.5 使 用 CDP 记录 网 络 拓 扑 结构 


正如 本 单元 的 标题 表明 的 ， 这 里 将 讨论 如 何 使 用 CDP 记录 一 个 示例 网 络 。 我 们 将 介绍 如 何 只 使 
用 CDP 命令 和 show running-config 命令 确定 特定 的 路 由 器 类 型 、 接 口 类 型 以 及 不 同 接口 的 全 地 
址 ， 而 记录 下 面 的 网 络 只 需要 以 控制 台 方式 连接 Lab_A 路 由 器 ， 并 且 在 每 个 区 域 中 用 下 一 个 可 用 IP 
为 每 个 远程 路 由 器 指定 地 址 。 图 7-2 中 给 出 了 用 于 完成 记录 的 网 络 。 


管 
过 


图 7-2 使 用 CDP 记录 网 络 的 拓扑 结构 


在 图 7-2 中 ,我 们 可 以 看 到 所 连接 的 路 由 器 有 4 个 接口 : 两 个 快速 以 太 网 接口 和 两 个 串 行 接口 。 
首先 ， 我 们 可 以 使 用 show running-config 命令 确定 每 个 接口 的 了 PP 地 址 : 

Lab_A#sh running-config 

Building configuration... 


Current configuration : 960 bytes 
! 

version 12.2 

service timestamps debug uptime 
service timestamps log uptime 

no service password-encryption 

1 

hostname Lab A 

! 


ip subnet-zero 
! 
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interface FastEthernet0/0 

ip address 192.168.21,1 255.255.255.0 
duplex auto 

! 
interface FastEthernet0/1 

1p address 192.168.18.1 255.255.255.0 
duplex auto 

! 
interface Serial0/0 
ip address 192.168.23.1 255.255.255.0 
1 
interface Seriali0/1 

ip address 192.168.28.1 255.255.255.0 
1 

ip classless 

! 
line con 0 

line aux 0 
line vty 0 4 

! 
end 


随 着 这 一 步 的 完成 ， 路 由 器 Lab_A 的 4 个 接口 的 IP 地 址 便 可 被 记录 下 来 。 接 着 ， 我 们 需要 
确定 与 这 些 接口 相连 的 另 一 端的 设备 类 型 。 这 也 非常 容易 一 一 只 需要 使 用 show cdp neighbors 
命令 : 

Lab_A#sh cdp neighbors 

Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge 

S - Switch, H - Host, I - IGMP, r - Repeater 


Device ID Local Intrfce Holdtme Capability Platform Port ID 
Lab_B Fas 0/0 178 R 2501 EO 
Lab_C Fas 0/1 137 R 2621 Fa0/0 
Lab_D Ser 0/0 178 R 2514 S1 
Lab_E Ser 0/1 137 R 2620 5S0/1 
Lab_A# 


现在 我 们 已 经 获得 了 大 量 的 信息 ! 同时 使 用 show running-config 和 show cdp neighbors 命 
令 , 我 们 已 经 了 解 到 Lab_A 路 由 器 的 所 有 人 P 地址 、 每 个 与 Lab_A 路 由 器 相连 接 的 远程 路 由 器 的 类 型 
以 及 所 有 这 些 远 程 路 由 器 的 接口 。 


现在 根据 show running-config 和 show cdp neighbors 命令 提供 的 所 有 信息 ， 我 们 就 可 以 创 
建 这 个 网 络 的 拓扑 图 ， 如 图 7-3 所 示 。 
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192.168.21 .2/24 192.168.23 .2/24 


2 


192.168.18 .2/24 L9168.28 2 
图 7-3 被 记录 的 网 络 拓扑 


如 果 需 要 ， 我 们 也 可 以 使 用 show cdp neighbors detail 命令 查看 相 邻 设备 的 IP 地址 。 但 是 由 
于 已 经 掌握 了 Lab_A 路 由 器 在 每 个 链 路 上 的 全 地址， 那么 下 一 个 可 用 的 人 P 地 址 也 就 可 以 推算 出 来 。 

链 路 层 发 现 协 议 

在 结束 CDP 内 容 之 前 ， 我 们 还 需要 讨论 一 个 非 专属 的 发 现 协 议 ， 它 是 一 个 可 以 运行 在 多 厂商 网 
络 环境 中 的 、 用 于 与 CDP 提供 几乎 相同 信息 的 协议 。 

IEEE 为 站 和 媒体 的 访问 控制 连接 发 现 ( Station and Media Access Control Connectivity Discovery ) 
创建 了 一 个 新 的 标准 化 发 现 协 议 一 一 802.1AB。 我 们 将 之 称 为 LLDP (Link Layer Discovery Protocol， 
链 路 层 发 现 协议 )。 

LLDP 定义 了 基本 的 发 现 能 力 ， 但 也 增强 了 专门 针对 语音 的 应 用 ， 而 这 个 版 本 称 为 LLDP-MED 
(Media Endpoint Discovery， 媒 体 端 点 发 现 )。LLDP 和 LLDP-MED 并 不 相互 兼容 。 

更 多 的 信息 可 以 参阅 : 

Www. cisco.com/en/US/docs/ios/cether/configuration/guide/ce_lldp-med. html 
以 及 : 

Www. cisco. com/en/US/technologies/tk652/tk701/technologies white 

paper0900aecd804cd46d. html 


7.7 ”使 用 Telnet 


Telnet 协议 是 TCP/ 下 协议 得 的 一 个 组 成 部 分 ， 它 是 一 个 虚拟 的 终端 协议 , 通过 这 一 协议 操作 者 可 
以 连接 远程 设备 、 获 取信 息 ， 并 可 在 远程 设备 上 运行 程序 。 

当 完 成 了 对 路 由 器 和 交换 机 的 配置 后 , 我 们 就 可 以 在 不 使 用 控制 台电 缆 的 情况 下 ， 使 用 Teinet 程 
序 完 成 对 路 由 器 和 交换 机 的 重新 配置 或 配置 检查 工作 。 我 们 可 以 在 任何 命令 提示 符 (DOS 或 思科 ) 下 ， 
通过 键 人 telnet 运行 Telnet 程序 。 要 在 路 由 器 上 执行 此 种 操作 ， 我 们 必须 先 设置 VTY 密码 。 
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记 住 ,使 用 CDP 不 能 收集 到 那些 与 设备 间接 相连 的 路 由 器 和 交换 机 的 信息 。 但 是 ， 我 们 可 以 通 
过 Teinet 应 用 程序 连接 相 邻 的 设备 ， 并 在 这 些 远程 设备 上 运行 CDP 来 收集 所 需 的 设备 信息 : 

我 们 可 以 在 任何 路 由 器 提示 符 下 发 出 telnet 命令 ， 如 下 所 示 : 

Corp#telnet 10.2.2.2 

Trying 10.2.2.2 ... Open 


Password required, but none set 


[Connection to 10.2.2.2 closed by foreign host] 
Corp# 
正如 你 所 看 到 的 ， 这 里 我 没有 为 自己 设置 好 密码 一 一 不 应 该 出 现 的 失误 ! 记 住 ， 当 路 由 器 上 的 
VTY 端口 被 配置 为 1ogin 时 ， 就 意味 着 我 们 必须 为 VTY 设置 密码 ,或 为 它 使 用 no 1ogin 命令 。( 如 
果 需 要 了 解密 码 的 设置 方式 ， 可 以 参见 第 6 章 。) 


如 果 发 现 不 能 远程 登录 某 台 


设备 ,有 可 能 就 是 由 于 在 远程 设备 上 没有 进行 密码 的 
注意 设置。 当然 ， 如 果 使 用 了 访问 控制 列表 ， 也 有 可 能 是 它 过 滤 了 这 个 远程 登录 的 会 话 。 


对 于 思科 路 由 器 ， 使 用 Telnet 应 用 不 一 定 需 要 输入 telnet 这 个 命令 ; 只 要 在 命令 提示 符 下 输入 
了 一 个 IP 地 址 ， 思 科 路 由 器 就 会 认定 操作 者 是 要 远程 登录 此 设备 。 下 面 就 是 一 个 只 使 用 人 P 地 址 完成 
远程 登录 的 示例 : 

Corp#10.2.2.2 

Trying 10.2.2.2 ... Open 


Password required, but none set 


[Connection to 10.2.2.2 closed by foreign host] 
Corp# 


注意 , 在 你 想 要 远程 登录 的 路 由 器 上 设置 VTY 密码 是 一 个 正确 的 选择 。 下 面 是 我 在 名 为 RI1 的 远 
程 路 由 器 上 进行 的 操作 : 
Ri#config 七 
Enter configuration commands, one per line. End with CNTL/Z. 
RiCconfig)#]line vty 0 ? 
<1-807> Last Line number 
<Cr> 
RLCconfig)#1Tine vty 0 807 
R1Cconfig-1ine)#password telnet 
R1LCconfig-1ine)#1ogin 
R1CCconfig-1ine)#^Z 


现在 ， 我 们 可 以 再 次 尝试 一 下 连接 此 路 由 器 。 下 面 我 将 从 Corp 路 由 器 的 控制 台 连 接 此 路 由 器 : 
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Corp#10.2.2.2 
Trying 10.2.2.2 ... Open 


User Access Verification 


Pas sword: 
R1> 


记 住 ，VTY 密码 是 用 户 模式 下 的 密码 ， 而 不 是 特权 模式 下 的 密码 。 注 意 观 察 ， 当 远程 登录 路 由 器 
Rl 后， 在 试图 进入 特权 模式 时 会 发 生 的 事情 : 

R1L>en 

% No password set 

R1> 


这 基本 上 是 在 说 “不 行 "。 这 是 一 个 很 不 错 的 安全 特性 ， 因 为 没有 人 会 希望 任何 一 个 可 以 远程 登 


录 设 备 的 人 ， 能 在 仅 输 入 enable 命令 后 进入 特权 模式 ， 因 此 ， 我 们 必须 为 自 己 的 路 由 器 配置 特权 模 
式 下 的 密码 或 启用 加 密 密 码 ， 从 而 让 自己 可 以 通过 Telnet 远程 配置 设备 ! 


远程 登录 一 个 设备 时 ， 默认 情况 下 我 们 是 不 会 看 到 控制 台 信 息 的 。 例 如 ， 在 这 
注意 ”种 情况 下 不 能 查看 debug 的 诊断 输出 。 为 了 允许 将 控制 台 信息 发 送 到 Telnet 会 话 ， 
我 们 应 可 以 使 用 terminal monitor 命令 。 


在 下 面 的 示例 中 ,我们 将 讨论 如 何 同时 远程 登录 多 个 设备 ,然后 讨论 如 何 使 用 主机 名 替代 公 地 址 。 


7.7.1 同时 远程 登录 多 个 设备 


在 远程 登录 某 台 路 由 器 或 交换 机 后 ， 在 任何 时 刻 我 们 都 可 以 通过 键 人 exit 结束 此 连接 。 但 是 ， 
如 果 想 在 保持 和 远程 设备 的 连接 的 同时 返回 原 路 由 器 的 控制 台 ， 该 怎么 操作 呢 ? 要 实现 这 一 操作 , 我 
们 可 以 按 下 Ctrl + Shift + 6 组合 键 , 再 释放 它 ， 然 后 再 按 下 义 键 。 

下 面 是 我 在 Corp 路 由 器 的 控制 台 上 连接 多 个 设备 的 示例 : 

Corp#10.2.2.2 

Trying 10.2.2.2 ... Open 


User Access Verification 


Password : 
R1L>Ctr1+Shift+6 
Corp# 


在 这 个 示例 中 , 我 先 远程 登录 R1 路 由 器 , 然后 输入 密码 进入 用 户 模式 , 接着 按 下 了 Ctrl + Shift + 6， 


随后 是 X( 这 时 屏幕 上 没有 内 容 输出 )。 注 意 ， 这 时 的 命令 提示 符 显 示 一 一 现在 已 经 回 到 了 Corp 路 由 
器 上 。 


对 此 我 们 可 以 执行 一 些 命令 来 验证 一 下 。 
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7.7.2 ”检查 Telnet 连接 
如 果 需 要 查看 路 由 器 到 远程 设备 的 连接 ， 我 们 可 以 使 用 show sessions 命令 : 


Corp#sh sessions 


Conn Host Address Byte Idle Conn Name 

1 10.2.2.2 10.2.2.2 0 0 10.2.2.2 
* 2 10.1.1.2 10.1.1.2 0 0 10.1.1.2 
Corp# 


注意 到 连接 2 旁边 的 星 号 (* ) 了 吗 ? 它 表 明 会 话 2 是 当前 连接 的 最 后 一 个 会 话 。 按 下 两 次 回 
车 我 们 就 可 以 返回 到 这 个 最 后 的 会 话 ， 也 可 以 通过 输入 表示 连接 的 编号 并 按 下 回 车 返回 到 指定 的 


会 话 。 
7.7.3 ”检查 Telnet 用 户 
使 用 show users 命令 ， 我 们 可 以 查看 路 由 器 上 正在 使 用 中 的 控制 台 和 所 有 连接 中 的 VTY 端口 : 


Corp#sh users 


Line User Host(s) Idle Location 
* 0 con0 10.1.1.2 00:00:01 
10.2.2.2 00:01:06 


在 此 命令 的 输出 中 , con 表示 本 地 控制 台 。 这 个 示例 显示 , 此 控制 台 会 话 连接 了 两 个 远程 P 地 址 ， 
即 连接 了 两 个 设备 。 在 下 面 的 示例 中 ， 在 从 Corp 路 由 器 远程 登录 的 ap 设备 上 输入 sh users， 我 就 
可 以 查看 到 自己 是 通过 线路 1 与 它 建立 连接 的 ， 


Corp#sh sessions 


Conn Host Address Byte Idle Conn Name 
1 10.1.1.2 10.1.1.2 0 0 10.1.1.2 
* 2 10.2.2.2 10.2.2.2 0 0 10.2.2.2 
Corp#1 
[Resuming connection 1 to 10.1.1.2 ...] 
ap>sh users 
Line User Host(s) Idle Location 
* 1vty0 idie 00:00:00 10.1.1.1 
ap> 


这 一 输出 表明 控制 台 是 可 用 的 ， 并 且 路 由 器 的 VTY 线路 1 正 被 使 用 。 其 中 的 星 号 用 于 表示 发 出 
show user 命令 的 当前 终端 会 话 。 


7.7.4 关闭 Telnet 会 话 


我 们 可 以 通过 几 种 不 同 的 方式 结束 Telnet 会 话 ， 输 入 exit 或 disconnect 可 能 是 其 中 最 容易 和 
最 快捷 的 方式 。 


如 果 需 要 从 远程 设备 上 结束 某 个 会 话 ， 我 们 可 以 使 用 exit 命令 : 
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ap>exit 
[Connection to 10.1.1.2 closed by foreign host] 
Corp# 
如 果 需 要 从 本 地 设备 上 结束 某 个 会 话 ， 我 们 可 以 使 用 disconnect 命令 : 
Corp#sh session 
Conn Host Address Byte Idle Conn Name 
*2 10.2.2.2 10.2.2.2 0 0 10.2.2.2 

Corp#disconnect ? 

<2-2> The number of an active network connection 

qdm Disconnect QDM web-based clients 

ssh Disconnect an active SSH connection 
Corp#disconnect 2 
Closing connection to 10.2.2.2 [confirm][enter] 
Corp# 
在 这 个 示例 中 ,我 之 所 以 使 用 会 话 编 号 2， 是 因为 这 个 号 正 代 表 着 我 想 要 结束 的 、 到 RI 路 由 器 

的 连接 。 正 如 示例 中 指出 的 ， 我 们 可 以 通过 show sessions 命令 查看 使 用 中 的 连接 编号 。 


7.8 解析 主机 名 


如 果 希 望 使 用 主机 名 而 不 是 人 P 地 址 ) 建立 到 远程 设备 的 连接 ， 那么 这 个 用 来 建立 连接 的 设备 就 
必须 有 能 力 将 主机 名 转换 为 IP 地址 。 
有 两 种 方法 可 以 实现 主机 名 到 IP 地 址 的 解析 ， 即 在 每 个 路 由 器 上 建立 一 个 主机 表 或 者 组 建 一 个 


DNS (Domain Name System， 域 名 系统 ) 服务 器 ， 这 个 服务 器 的 功能 类 似 于 动态 的 主机 表 (或 假想 的 
动态 DNS )。 


7.8.1 建立 主机 表 
主机 表 只 为 创建 有 此 表 的 路 由 器 提供 名 称 解析 。 在 路 由 器 上 建立 主机 表 的 命令 如 下 : 


ip host host_name [tcp_port_number] ip_address 


Telnet 的 默认 TCP 端口 号 是 23 ， 但 如 果 需 要 我 们 也 可 以 通过 Telnet 命令 使 用 不 同 的 TCP 端口 号 
创建 会 话 。 此 外 ， 我 们 可 以 为 同一 个 主机 名 指派 多 达 8 个 他 地 址 。 
下 面 是 一 个 在 Corp 路 由 器 上 配置 主机 表 的 例子 , 这 个 主机 表 中 包含 有 两 个 特定 于 R1 路 由 器 和 ap 
设备 的 解析 表 项 : 
Corp#config t 
Corp(config)#ip host RL ? 
<0-65535> Default telnet port number 


A.B.C.D Host IP address 
additional Append addresses 
mx Configure a MX record 


ns Configure an NS record 
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srv Configure a SRV record 
Corp(Cconfig)#ip host Ri 10.2.2.2 ? 

A.B.C.D Host IP address 

<Cr> 
Corp(Cconfig)#ip host R1 10.2.2.2 
Corp(config)#ip host ap 10.1.1.2 


注意 在 上 面 对 路 由 器 的 配置 中 ,我 们 可 以 不 断 地 添加 瑟 地 址 到 指定 的 主机 ,并 一 个 接 一 个 地 操作 ， 
最 多 可 添加 8 个 地址 。 查 看 新 建 的 主机 表 ， 我 们 可 使 用 show hosts 命令 : 

Corp(Cconfig)#do show hosts 

Default domain is not set 

Name/address lookup uses domain service 

Name servers are 255.255.255.255 


Codes: UN - unknown, EX - expired, OK - OK, ?7? - revalidate 
temp - temporary, perm - permanent 
NA - Not Applicable None -.Not defined 


Host Port Flags Age Type Address(es) 
ap None (perm, OK) 0 IP 10.1.1.2 | 
Rl None (perm, OK) 0 IP 10.2.2.2 
Corp(Cconfig)# 人 2Z 

Corp# 


在 上 面 的 路 由 器 输出 中 ,我 们 可 以 看 到 两 个 主机 名 及 与 之 相关 联 的 全 地 址 ,在 Flags 栏 中 的 perm 
表明 此 表 项 是 手动 配置 的 。 如 果 此 内 容 为 temp， 则 表明 此 表 项 是 通过 DNS 解析 得 到 的 。 


命令 show hosts 可 以 提供 有 关 表 项 的 Flags 属性 的 信息 ， 它 可 以 区 分 出 临时 
注意 ” 性 的 DNS 表 项 以 及 永久 性 的 由 ip host 命令 创建 的 名 称 到 地 址 映射 的 表 项 。 


要 验证 主机 表 对 名 称 的 解析 ， 我 们 可 以 在 路 由 器 的 提示 符 下 输入 主机 名 。 记 住 ， 如 果 没 有 输入 具 
体 的 命令 ， 而 只 输入 主机 名 ， 路 由 器 会 认定 你 是 在 进行 远程 登录 操作 。 

在 下 面 的 示例 中 ， 我 将 使 用 主机 名 远程 登录 设备 ， 然 后 再 通过 按 下 Ctrl + Shift + 6 组合 键 及 X， 
返回 到 Corp 路 由 器 的 主 控制 台 

Corp#Pl 

Trying R1 (10.2.2.2)... Open 


User Access Verification 


Password: 

RI>Ctr1+Shift+6 

Corp#ap 

Trying ap (10.1.1.2)... Open 
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User Access Verification 


Password : 

ap>Ctr1+Shift+6 

Corp# 

在 这 里 ， 我 使 用 主机 表 中 的 表 项 ， 通 过 主机 名 远程 登录 了 两 台 设 备 ， 成 功 地 创建 了 两 个 会 话 。 主 
机 表 中 的 名 称 是 不 区 分 大 小 写 的 。 

注意 下 面 show sessions 命令 的 输出 ， 这 里 给 出 的 是 主机 名 和 下 地 址 ， 而 不 只 是 卫 地 址 了 : 


Corp#sh sessions 


Conn Host Address Byte Idle Conn Name 
1 r1 10.2.2.2 0 1 rl 

* 2 ap 10.1.1.2 0 0 ap 

Corp# 


如 果 想 从 主机 表 中 删除 一 个 主机 名 ， 我 们 只 需要 使 用 no ip host 命令 ,操作 如 下 : 

Corp(config)#no ip host R1 . 

使 用 主机 表 的 方案 存在 一 个 问题 ， 即 我 们 需要 在 每 个 路 由 器 上 都 创建 一 个 用 于 名 称 解析 的 主机 
表 。 如 果 要 在 拥有 多 台 路 由 器 的 网 络 中 实现 名 称 解 析 ， DNS 将 会 是 一 个 更 好 的 选择 ! 


7.8.2 使 用 DNS 解析 名 称 


如 果 网 络 连 接 有 众多 的 设备 , 而 你 又 不 希望 在 每 个 设备 上 都 创建 一 个 主机 表 , 这 时 就 可 使 用 DNS 
服务 器 来 完成 对 主机 名 的 解析 。 
默认 情况 下 ， 每 当 思科 设备 接收 到 一 个 无 法 理解 的 命令 时 ， 它 都 会 尝试 通过 DNS 对 它 进行 解析 。 
我 在 思科 路 由 器 的 提示 符 下 输入 了 一 个 特殊 的 命令 todd， 注 意 观 察 会 发 生 些 什么 : 
Corp#todd 
Translating "todd" .. .domain server (255.255.255.255) 
Translating "todd".,.domain server (255.255.255.255) 
Translating "todd'"...domain server (255.255.255.255) 
% Unknown command or computer name, or unable to find 
computer address 
Corp# 
由 于 有 路 由 器 对 输入 的 名 字 或 命令 不 了 解 ， 于 是 它 尝试 通过 DNS 进行 解析 。 这 个 过 程 常会 令 人 十 
分 心烦 ， 一 个 原因 是 路 由 器 竟然 不 识别 输入 的 内 容 ( 这 让 人 很 无 奈 )， 另 一 个 原因 是 随后 的 操作 将 被 
挂 起 直到 名 称 查询 超时 。 我 们 可 以 在 全 局 配置 模式 下 使 用 no ip domain-1ookup 命令 跳出 这 种 窘境 ， 
从 而 防止 因 DNS 查找 而 浪费 宝贵 的 时 间 。 
如 果 网 络 上 已 经 配备 有 DNS 服务 器 ， 那 么 要 让 DNS 的 名 称 解 析 服 务 起 作用 ， 我 们 还 需要 再 运行 
一 些 命令 。 
口 第 一 个 命令 是 ip domain-1ookup， 此 命令 是 默认 开启 的 。 注 意 ， 只 有 在 前 期 关闭 了 此 功能 时 
(使 用 no ip domain-1ookup 命令 来 实现 ), 我 们 才 会 需要 运行 这 一 命令 。 在 使 用 这 一 命令 时 ， 
我 们 不 必 输 入 中 间 的 连 字符 (可 以 是 ip domain lookup )。 
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口 第 二 个 命令 是 ip name-server。 这 个 命令 用 于 设置 DNS 服务 器 的 下 地 址 。 我 们 最 多 可 以 输 
人 6 个 服务 器 的 他 地址。 

口 最 后 一 个 命令 是 ip domain-name。 尽 管 这 个 命令 是 可 选 的 ,但 实际 上 还 是 需要 设置 它 的 。 它 
负责 将 域名 附加 到 输入 的 主机 名 后 。 由 于 DNS 使 用 的 是 FQDN( Fully Qualified Domain Name ， 
完全 限定 域名 ) 系统 ， 因 此 必须 有 一 个 第 二 层次 的 DNS 域名 部 分 ， 其 格式 为 domain.com。 

下 面 是 使 用 这 3 个 命令 的 示例 : 

Corp#config 七 

Corp(config)#ip domain-lookup 

Corp(config)#ip name-server ? 

A.B.C.D Domain server IP address (maximum of 6) 

Corp(config)#ip name-server 192.168.0.70 

Corp(Cconfig)#ip domain-name lammle .com 

Corp(Cconfig)#^Z 

Corp# 


完成 对 DNS 的 配置 后 , 我 们 可 以 使 用 主机 名 去 ping 某 台 设备 或 远程 登录 它 , 以 测试 DNS 服务 器 ， 
Corp#ping R1 
Translating "R1'"...domain server (192 .168.0.70) [OK] 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 
2 seconds: 
Success rate is 100 percent (5/5), round-trip min/avg/max 
= 28/31/32 ms 
注意 ， 这 里 的 路 由 器 是 通过 DNS 服务 器 解析 主机 名 的 。 
使 用 DNS 完成 了 对 名 称 的 解析 后 ， 我 们 可 以 使 用 show hosts 命令 在 设备 查看 主机 表 对 解析 信 
息 的 缓存 内 容 : 
Corp#sh hosts 
Default domain is lammle.com 
Name/address lookup uses domain service 
Name servers are 192.168.0.70 


Host Flags Age Type Address(es) 
R1 (temp, OK) 0 IP 10.2.2.2 

ap (perm, OK) 0 IP 10.1.1.2 
Corp# 


被 解析 的 表 项 显示 为 temp, 但 是 ap 设 备 仍然 显示 为 perm, 这 表明 它 仍 是 一 个 被 静态 配置 的 表 项 。 
注意 ， 这 里 的 主机 名 是 被 配置 了 完整 域名 的 。 如 果 前 面 没 有 使 用 ip domain-name 1ammle .com 命令 ， 
那么 在 ping 时 将 需要 输入 ping r1.1ammle.com， 这 多 少 会 让 人 感到 痛苦 。 
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(dD 真实 案例 
使 用 主机 表 还 是 DNS 服务 器 


Karen 最 后 使 用 CDP 完成 了 对 网 络 连接 图 的 绘制 ， 医 生 们 对 此 感到 很 满意 。 然 而 ，Karen 在 
管理 网 络 时 又 遇 到 了 困难 ， 因 为 每 当 需 要 远程 登录 某 台 路 由 器 时 ， 她 都 必须 查看 网 络 连接 图 来 查 
找 相应 的 耳 地 址 。 

Karen 想到 在 每 个 路 由 器 上 放置 主机 表 ， 但 在 一 个 拥有 数 百 台 路 由 器 的 网 络 里 ， 这 显然 是 一 


个 难以 实现 的 任务 。 

现在 大 部 分 的 网 络 都 配备 有 DNS 服务器， 因此 在 DNS 中 添加 一 百 个 左右 的 主机 名 是 件 很 容 
易 的 事情 一 一 它 当 然 要 比 向 每 个 路 由 器 都 添加 如 此 多 的 主机 名 容易 得 多 ! 这 样 ，Karen 只 要 在 每 
个 路 由 器 上 多 执行 3 条 命令 就 可 达到 目的 ， 完 成 对 名 称 的 解析 。 

使 用 DNS 服务 器 也 可 使 更 新 任何 旧 的 表 项 更 加 简单 ， 记 住 ， 如 果 使 用 静态 主机 表 ， 即 使 是 
一 个 很 小 的 变动 与 修改 ， 都 需要 对 每 台 路 由 器 上 的 主机 表 进 行 手动 更 新 。 

请 牢记 ， 名 称 解 析 并 不 能 帮助 网 络 做 任何 事情 ， 也 不 能 帮助 网 络 上 的 主机 完成 指定 的 工作 ， 
只 能 用 于 帮助 操作 者 完成 来 自 路 由 器 控制 台 的 名 称 解 析 任 务 。 
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我 们 可 以 使 用 ping 和 traceroute 命令 测试 到 远程 设备 的 连通 性 ， 这 两 个 命令 可 以 用 于 许多 协 
议 中 ， 而 不 限于 IP 协议 。 但 同时 也 不 要 忘记 ，show ip route 命令 是 一 个 很 好 用 的 、 可 以 验证 路 由 
表 的 诊断 命令 ， 而 show interfaces 命令 可 提供 每 个 接口 的 相关 状态 信息 。 

由 于 show interfaces 命令 已 经 在 第 6 章 介 绍 过 了 ， 这 里 就 不 再 探讨 了 。 下 面 将 要 对 debug 命 
令 和 show processes 命令 进行 详细 介绍 ， 因 为 掌握 这 两 个 命令 将 有 助 于 路 由 器 故障 的 排除 。 


7.9.1 使 用 Ping 命令 


目前 为 止 ,我 们 已 经 介绍 了 许多 通过 ping 设备 测试 IP 连通 性 和 DNS 服务 器 名 称 解析 性 能 的 示例 。 
如 果 想 要 了 解 有 哪些 协议 可 以 支持 ping 应 用 ， 我 们 可 以 直接 输入 ping ?: 
Corp#ping ? 
WORD Ping destination address or hostname 
clns CLNS echo 
ip IP echo 
srb srb echo 
tag Tag encapsulated IP echo 
<cr> 
通过 ping 命令 , 我 们 可 以 了 解 Ping 分 组 在 查找 指定 系统 并 返回 的 过 程 中 所 需要 花费 的 最 小 、 平 
均 和 最 大 时 间 。 下 面 就 是 一 个 使 用 ping 的 示例 : 
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Corp#ping R1 
Translating "R1"...domain server (192.168.0.70) [OK] 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout 
is 2 seconds: 
Success rate is 100 percent (5/5), round-trip min/avg/max 
= 1/2/4 ms 
Corp# 
由 这 一 结果 可 以 看 出 ， 这 里 使 用 了 DNS 服务 器 来 解析 主机 名 ， 而 对 被 ping 设备 的 测试 结果 为 最 
短 时 间 1 ms 毫秒 )， 平均 时 间 2 ms， 最 大 4 ms。 


ping 命令 只 可 以 运行 在 用 户 模式 和 特权 模式 下 ， 在 配置 模式 下 不 能 工作 。 


7.9.2 ”使 用 traceroute 命令 


Traceroute( 即 所 谓 的 traceroute 命令 , 也 可 简写 为 trace ) 可 用 于 显示 分 组 到 达 远 程 设 备 的 路 
径 。 这 一 命令 使 用 了 TTL 超时 机 制 和 ICMP 错误 消息 通告 功能 ,以 绘制 分 组 通过 互联 网 络 到 达 远 程 主 
机 时 的 路 径 。 

Trace (trace 命令 ) 可 以 工作 在 设备 的 用 户 模式 或 特权 模式 下 ,这 一 命令 可 以 帮助 我 们 找 出 哪个 
路 由 器 在 通 往 不 可 达 网 络 主机 的 路 径 上 ， 从 而 让 我 们 更 有 把 握 查 出 网 络 的 失效 原因 。 

要 想 了 解 哪 些 协议 支持 traceroute 命令 ,我 们 可 以 直接 输入 traceroute ?: 


Corp#traceroute ? 


WORD Trace route to destination address or hostname 
appletalk AppleTalk Trace 

clns ISO CLNS Trace 

ip IP Trace 

ipv6 IPv6 Trace 

ipx IPX Trace 

<cr> 


命令 traceroute 可 以 给 出 分 组 在 传输 到 远程 设备 的 过 程 中 所 需要 经 过 的 跳 数 。 下 面 就 是 一 个 使 
用 示例 : 


Corp#traceroute rl 


Type escape sequence to abort. 
Tracing the route to R1 (10.2.2.2) 


1 R1 (10.2.2.2) 4 msec * 0 msec 
Corp# 
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在 这 里 可 以 看 到 ， 分 组 经 过 一 跳 就 可 以 找到 目的 地 。 


sms 


注意 不 能 混淆 ! 在 思科 设备 上 我 们 不 能 使 用 tracert 命令 ， 因 为 这 是 Windows 
提示 下 的 一 个 命令 。 对 于 路 由 器 ， 我 们 可 以 使 用 命令 traceroutel 


下 面 是 一 个 在 Windows 的 DOS 提 示 符 下 使 用 tracert 命 令 的 示例 ( 注意 这 个 命令 是 tracertt ): 


C:\>tracert www.whitehouse.gov 


Tracing route to al289.g.akamai.net [69.8.201.107] 
over a maximum of 30 hops: 


1 六 和 * Request timed out. 
2 53 ms 61 ms 53 ms hirn-dsl-gwl5-207.hirn.qwest.net 

[207 .225.112 .207] 
53 ms 55 ms 54 ms hlrn-agwl.inet.qwest.net [71.217.188.113] 
54 ms 53 ms 54 ms hlr-core-01.inet.qwest.net [205.171.253.97] 
54 ms 53 ms 54 ms apa-cntr-01.inet.qwest.net [205.171.253.26] 
54 ms 53 ms 53 ms 63.150.160.34 
54 ms 54 ms 53 ms ww.whitehouse.gov [69.8.201.107] 


NO Uw 


Trace complete. 


接 下 来 ， 我 们 来 讨论 一 下 如 何 使 用 debug 命令 排除 网 络 故障 。 
7.9.3 ”debug 命令 


debug 是 一 个 只 可 在 思科 IOS 特权 模式 下 运行 的 、 用 于 故障 排除 的 命令 。 它 常用 于 显示 各 种 路 由 
器 操作 的 信息 以 及 由 路 由 器 产生 或 接收 到 的 与 流量 相关 的 信息 ， 此 外 还 包括 出 错 信息 。 

这 是 一 个 非常 有 用 并 且 用 于 提供 信息 的 工具 , 但 要 用 好 它 ， 必 须 真正 掌握 一 些 重 要 的 在 使 用 时 的 
注意 事项 。 调 试 通常 被 视 为 一 个 需要 高 开销 的 任务 ， 因 为 在 运行 时 它 会 消耗 掉 大 量 的 资源 ， 并 且 会 迫 
使 路 由 器 处 理 并 交换 被 调试 的 分 组 。 因 此 , 不 能 把 debug 当做 简单 的 监控 工具 来 用 , 而 只 能 将 其 作为 
故障 排除 工具 在 相对 短 的 时 间 周 期 内 使 用 。 通 过 debug, 我 们 可 以 发 现 有 关 软 件 或 硬件 组 件 是 否 在 正 
常 运 转 或 发 现 其 故障 的 、 真 实 且 关键 的 判断 依据 。 

由 于 调试 输出 与 其 他 网 络 流量 相 比 有 更 高 的 优先 级 ， 并 且 由 于 debug a11 命令 将 产生 比 其 他 
debug 命令 更 多 的 输出 , 因此 这 个 命令 会 严重 影响 路 由 器 的 工作 性 能 , 甚至 致使 路 由 器 不 能 正常 工作 。 
所 以 ， 在 实际 的 应 用 中 我 们 建议 使 用 更 具 针 对 性 的 debug 命令 。 

正如 下 述 输出 指出 的 ，debug 命令 不 能 工作 在 用 户 模式 下 ， 而 只 能 在 特权 模式 下 使 用 : 

Corp>debug ? 

% Unrecognized command 

Corp>en 

Corp#debug ? 
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aaa AAA Authentication, Authorization and Accounting 
access-expression Boolean access expression 
adjacency adjacency 
all Enable all debugging 


Loutput cut] 

如 果 你 有 足够 的 自由 度 去 操作 一 台 路 由 器 ， 并 且 也 确实 想 通过 debug 找到 些 乐趣 ， 那 么 请 执行 
debug all 命令 : 

Corp#debug all 


This may severely impact network performance. Continue? (yes/ [no] ) :yes 


All possible debugging has been turned on 


2d20h: 
2d20h: 
2d20h: 
2d20h: 
2d20h: 
2d20h: 
2d20h: 
2d20h: 
2d20h: 
2d20h : 
2d20h: 
2d20h: 
2d20h : 
2d20h: 
2d20h: 
2d20h: 
2d20h: 
2d20h: 


SNMP: HC Timer 824AE5CC fired 
SNMP: HC Timer 824AE5CC rearmed, delay = 20000 
Serial0/0: HDLC myseq 4, mineseen 0, yourseen 0, line down 


Rudpvl1 Sent: Pkts 0, Data Bytes 0, Data Pkts 0 
Rudpvl1 Rcvd: Pkts 0, Data Bytes 0, Data Pkts 0 
Rudpvl1 Discarded: 0, Retransmitted 0 


RIP-TIMER; periodic timer expired 

Serial0/0: HDLC myseq 5, mineseen 0, yourseen 0, line down 
Serial0/0: attempting to restart 

PowerQUICC(C0/0): DCD is up. 

is_up: 0 state: 4 sub state: 1 line: 0 


Rudpv1L Sent: Pkts 0, Data Bytes 0, Data Pkts 0 
Rudpvl1 Revd: Pkts 0, Data Bytes 0, Data Pkts 0 
Rudpv1 Discarded: 0, Retransmitted 0 

un all 


A11 possible debugging has been turned off 


Corpt# 


要 在 路 由 器 上 禁用 调试 ， 我 们 只 需要 在 debug 命令 前 加 上 一 个 no: 

Corp#no debug all 

但 在 实际 操作 中 我 只 使 用 undebug a11 命令 ， 因 为 这 个 命令 的 缩写 更 为 简捷 : 

Corp#un a]ll 

记 住 ， 使 用 有 针对 性 的 debug 命令 来 替代 debug al11 命令 是 更 好 的 选择 ， 而 且 需 要 将 运行 的 时 
间 限 制 在 较 短 的 时 间 内 。 下 面 就 是 一 个 debug ip rip 示例 ， 该 命令 用 于 显示 路 由 器 发 送 和 接收 的 


RIP 更 新 : 
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Corp#debug ip rip 

RIP protocol debugging is on 

Corp# 

iw4d: RIP: sending v2 update to 224.0.0.9 via Serial0/0 (192.168.12.1) 
lw4d: RIP: build update entries 

lw4d: 10.10.10.0/24 via 0.0.0.0, metric 2, tag 0 

iw4d: 171.16.125.0/24 via 0.0.0.0, metric 3, tag 0 

lw4d : 172.16.12.0/24 via 0.0.0.0, metric 1, tag 0 

lw4d: 172.16.125.0/24 via 0.0.0.0, metric 3, tag 0 

lw4d: RIP: sending v2 update to 224.0.0.9 via Serial0/2 (172.16.12.1) 
lw4d: RIP: build update entries 

lw4d: 192.168.12.0/24 via 0.0.0.0, metric 1, tag 0 

lw4d: 192.168.22.0/24 via 0.0.0.0, metric 2, tag 0 

lw4d: RIP: received v2 update from 192,168.12.2 on Serial0/0 

lw4d: 192.168.22.0/24 via 0.0.0.0 in 1 hops 

Corp#un all 


我 相信 你 会 了 解 到 debug 是 一 个 功能 强大 的 命令 。 并且 正 因为 如 此 , 我 也 相信 在 使 用 任 一 调试 命 
令 之 前 你 会 认识 到 ， 应 当 检查 路 由 器 的 利用 率 。 这 一 点 非常 重要 ， 因 为 在 大 多 数 情 况 下 ， 你 并 不 希望 
因 执行 这 一 命令 而 影响 设备 处 理 互联 网 络 中 分 组 的 能 力 。 我 们 可 以 使 用 show ”processes 命令 确定 
特定 路 由 器 的 利用 率 。 


记 住 ， 在 默认 情况 远程 登录 一 个 设备 时 ， 我 们 看 不 到 发 送 给 控制 台 的 信息 ! 例 
注意 如， 在 这 种 情况 下 ， 通 过 远程 登录 我 们 看 不 到 调试 输出 。 如 果 希 望 将 发 给 控制 台 的 
信息 发 送 到 Telnet 会话 中 ， 则 我 们 需要 使 用 termina]l monitor 命令 。 


7.9.4 使 用 show processes 命令 


正如 前 一 部 分 提 到 的 , 在 设备 上 使 用 debug 命令 时 我 们 一 定 要 十 分 小 心 谨慎 。 如果 路 由 器 的 CPU 
使 用 率 已 经 达到 了 50% 或 更 高 ， 那么 再 使 用 debug a11 命令 就 是 一 个 十 分 不 明智 的 举动 ， 除 非 你 真 
的 想 看 到 路 由 器 是 如 何 有 崩溃 的 ! 

那么 ， 是 否 还 有 其 他 可 以 采用 的 方法 呢 ? 命令 show processes (或 show processes cpu) 就 
是 一 个 很 好 的 、 用 于 确定 指定 路 由 器 CPU 利用 率 的 工具 。 此 外 ， 这 一 命令 还 提供 正在 运行 进程 的 列 
表 ， 以 及 进程 的 ID 、 优 先 权 、 调 度 程序 测试 ( 状态 )、 使 用 CPU 的 时 间 、 调 用 次 数 等 数据 ， 都 是 一 些 
十 分 有 用 的 数据 ! 另外 ， 当 需要 对 路 由 器 的 性 能 和 CPU 利用 率 进行 评估 时 ， 这 个 命令 非常 好 用 ， 特 
别 是 在 希望 尝试 使 用 其 他 手段 替代 debug 命令 时 。 

从 下 面 的 输出 中 我 们 可 以 了 解 些 什 么 ? 第 一 行 给 出 了 CPU 在 最 后 5 秒 、1 分 钟 和 5 分 钟 内 的 利用 
率 情况 。 这 一 行 首先 指出 最 后 5 秒 内 CPU 的 利用 率 是 2%/0%， 其 中 第 一 个 数据 为 总 利用 率 ， 第 二 个 
数据 给 出 了 因 中 断 程序 运行 而 达到 的 利用 率 : 
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Corp#sh processes 
CPU utilization for five seconds: 2%/0%; one minute: 0%; five minutes: 0% 
PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process 


1 Cwe 8034470C 0 1 0 5804/6000 0 Chunk Manager 
2 Csp 80369A88 4 1856 2 2616/3000 0 Load Meter 

3 M* 0 112 14 800010656/12000 0 Exec 

5 Lst 8034FD9C 268246 52101 5148 5768/6000 0 Check heaps 

6 Cwe 80355E5C 20 3 6666 5704/6000 0 Pool Manager 
7 Mst 802AC3C4 0 2 0 5580/6000 0 Timers 


[output cut] 


因此 ,命令 show processes 的 输出 大 体 上 给 出 了 路 由 器 在 不 超载 的 情况 下 运行 调试 命令 的 能 力 。 
7.10 小结 


本 章 ， 我 们 主要 学 习 了 如 何 配置 思科 路 由 器 以 及 如 何 管理 这 些 配置 。 

本 章 介 绍 了 路 由 器 的 内 部 组 件 , 包括 ROM、RAM、NVRAM 和 闪存 。 

此 外 ,本 章 还 讲解 了 路 由 器 的 启动 和 启动 时 要 加 载 的 文件 。 配 置 寄存 器 可 以 告诉 路 由 器 如 何 引导 
以 及 从 哪里 加 载 文 件 ， 而 我 们 也 学 习 了 如 何 为 恢复 密码 而 修改 并 验证 配置 寄存 器 的 设置 。 

接着 , 我 们 学 习 了 如 何 备 份 并 恢复 思科 IOS 映像 文件 ， 以 及 如 何 备份 并 恢复 思科 路 由 器 的 配置 文 
件 。 另 外 ， 我 们 还 了 解 了 如 何 使 用 CLI 和 IfS 管理 这 些 文件 。 

然后 , 我 们 学 习 了 如 何 使 用 CDP 和 Telnet 收集 远程 设备 的 相关 信息 。 最 后 ,本 章 介 绍 了 如 何 解 析 
主机 名 、 使 用 ping 和 trace 命令 测试 网 络 的 连通 性 以 及 如 何 使 用 debug 和 show processes 命令 。 


7.11 考试 要 点 


思科 路 由 器 组 件 的 定义 。 描 述 引 导 程 序 、POST、ROM 监控 程序 、 微 型 IOS、RAM、ROM 、 闪 存 、 
NVRAM 和 配置 寄存 器 的 功能 。 

辨别 路 由 器 启动 顺序 的 步骤 。 这 些 启动 顺序 的 步 又 包括 POST、 加 载 IOS 以 及 从 NVRAM 中 复制 
启动 配置 文件 到 RAM 中 。 

理解 配置 寄存 器 的 命令 和 设置 。0x2102 是 所 有 思科 路 由 器 的 默认 设置 , 它 告诉 路 由 器 在 NVRAM 
中 查找 启动 顺序 。0x2101 要 求 路 由 器 从 ROM 启动 ， 而 0x2142 设置 则 要 求 路 由 器 不 要 加 载 NVRAM 
中 的 启动 配置 ， 以 便 完 成 对 密码 的 恢复 。 

密码 恢复 。 完 成 密码 恢复 的 步 又 包括 中 断路 由 器 启动 顺序 、 修 改 配 置 寄存 器 、 重 新 启动 路 由 器 并 
进入 特权 模式 、 修 改 / 设 置 密码 、 保 存 新 的 配置 文件 、 重 置 配 置 寄 存 器 以 及 重新 启动 路 由 器 。 

备份 IOS 映像 。 在 特权 模式 下 使 用 命令 copy flash tftp， 我 们 可 以 将 文件 从 闪存 备份 到 TFTP 
(网 络 ) 服务 器 上 。 

恢复 或 升级 1OS 映像 。 在 特权 模式 下 使 用 命令 copy tftp flash， 我 们 就 可 以 将 TFTP ( 网络) 
服务 器 中 的 文件 恢复 或 升级 为 闪存 中 的 文件 。 

描述 在 将 IOS 映像 文件 备份 到 网 络 服务 器 之 前 应 该 进行 的 最 佳 做 法 。 确 保 可 访问 用 于 备份 的 网 
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络 服务 器 、 确 保 此 网 络 服务 器 上 拥有 足够 的 空间 保存 映像 文件 ， 并 且 对 进行 备份 的 文件 名 和 路 径 进 
行 验证 。 

保存 路 由 器 的 配置 文件 。 保 存 路 由 器 的 配置 文件 可 以 有 很 多 种 方法 ， 其 中 最 为 常用 的 、 同 时 也 是 
久 经 验证 的 方法 ， 就 是 使 用 copy running-config startup-config。 

擦 除 路 由 器 上 的 配置 文件 。 在 特权 模式 下 使 用 erase startup-config 命令 ,然后 重新 启动 路 由 
器 。 

理解 并 使 用 思科 IFS 文件 系统 管理 命令 。 这 些 命令 包括 dir、copy、more、delete、erase 或 
format、cd 和 pwd， 以 及 mkdir 和 rmdir。 

描述 CDP 的 重要 性 。CDP( 即 思科 发 现 协 议 ) 可 以 对 网 络 文件 的 存档 以 及 网 络 故障 的 排除 提供 
很 大 的 帮助 。 

列举 可 由 show cdp neighbors 命令 提供 的 信息 。 命 令 show cdp neighbors 可 以 提供 以 下 信 
息 : 设备 ID、 本 地 接口 、 保 持 时 间 、 产 品 性 能 、 应 用 平台 和 端口 ID ( 远程 接口 )。 

了 解 如 何 建立 一 个 可 同时 连接 到 多 人 台 路 由 器 的 Teinet 会 话 。 如 果 远 程 连接 了 一 台 路 由 器 或 交换 
机 ， 我 们 可 以 输入 exit 在 任何 时 候 结 束 此 连接 。 但 是 ， 如 果 希 望 保持 与 远程 设备 的 连接 ， 并 同时 返 
回 原 路 由 器 的 控制 台 ， 我 们 可 以 按 下 Ctrl + Shift + 6 组 合 键 ,然后 释放 ， 随 后 再 按 下 X 键 。 

辨别 当前 的 Telnet 会 话 。 命令 show sessions 可 以 显示 你 所 控制 的 路 由 器 与 其 他 路 由 器 建立 的 、 
当前 可 用 的 所 有 会 话 。 

在 路 由 器 上 建立 静态 的 主机 表 。 在 全 局 配置 模式 下 执行 命令 ip host host_name 7p_address， 
我 们 可 以 在 路 由 器 上 建立 静态 的 主机 表 。 一 个 主机 可 以 同时 关联 多 个 卫 地 址 。 

验证 路 由 器 上 的 主机 表 。 我 们 可 以 使 用 show hosts 命令 完成 对 主机 表 的 验证 。 

描述 ping 命令 的 作用 。Ping (Packet Internet Groper， 分 组 因特网 探测 器 ) 使 用 ICMP 回应 请 求 
和 ICMP 应 答 验 证 网 络 上 某 个 IP 地 址 的 连通 性 。 

在 正确 的 提示 符 下 ping 合法 的 主机 ID。 我 们 可 以 在 路 由 器 的 用 户 模式 或 特权 模式 下 Ping 某 个 卫 
地 址 ， 但 不 能 在 配置 模式 下 进行 此 项 操作 。 命 令 ping 中 必须 使 用 有 效 的 地 址 ， 如 1.1.1.1。 


7.12 ”书面 实验 7 


在 这 个 单元 里 ,读者 需要 完成 以 下 实验 ， 以 确保 完全 掌握 其 中 涉及 的 内 容 和 概念 。 
口 实验 7.1: IOS 管理 。 

口 实验 7.2: 路 由 器 上 的 存储 器 。 

(书面 实验 的 答案 见 本 章 复习 题 答案 的 后 面 。) 


7.12.1 书面 实验 7.1 


写 出 下 列 问题 的 答案 。 

(1) 复制 思科 IOS 文件 到 TFTP 服务 器 的 命令 是 什么 ? 

(2) 复制 思科 启动 配置 文件 到 TFTP 服务 器 的 命令 是 什么 ? 

G) 复制 启动 配置 文件 到 DRAM 的 命令 是 什么 ? 

(4) 可 用 于 复制 启动 配置 文件 到 DRAM 的 老 版 本 命令 是 什么 ? 
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(5) 在 路 由 器 的 提示 符 下 使 用 什么 命令 可 以 查看 相 邻 路 由 器 的 IP 地 址 ? 

(6) 使 用 什么 命令 可 以 查看 路 由 器 的 本 地 接口 以 及 相 邻 路 由 器 的 主机 名 、 平 台 和 远程 端口 ? 
(7) 按 什么 组 合 键 可 以 同时 远程 连接 多 台 设 备 ? 

(8) 使 用 什么 命令 可 以 显示 与 相 邻 设备 和 远程 设备 的 、 活 动 的 Telnet 连接 ? 

(9) 使 用 什么 命令 可 以 升级 思科 的 IOS? 

(10) 使 用 什么 命令 可 以 将 备份 配置 文件 和 RAM 中 的 配置 文件 合并 ? 


7.12.2 书面 实验 7.2 
辨别 下 列 文 件 在 默认 时 被 存储 在 路 由 器 的 哪个 位 置 上 。 


(1) Cisco IOS。 (2) bootstrap〈 引导 程序 )。 
(3) 启动 配置 文件 。 (4) POST 顺序。 

(5) 运行 配置 文件 。 (6) ARP 缓存 。 

(7) 微型 IOS。 (8) ROM 监控 程序 。 

(9) 路 由 表 。 (10) 分 组 缓存 。 


7.13 ”动手 实验 


若 要 完成 这 一 单元 中 的 实验 , 我们 至 少 需要 一 台 路 由 器 ( 最 好 是 3 台 ), 并 且 至 少 有 一 台 作为 TFTP 
服务 器 运行 的 PC 机 ， 即 在 这 人 台 PC 机 上 要 安装 并 运行 TFTP 服务 器 软件 。 要 完成 这 个 实验 ，PC 机 和 
路 由 器 必须 通过 一 台 交 换 机 或 集线器 连接 起 来 ， 并 且 所 有 的 接口 (PC 机 的 NIC 和 路 由 器 的 接口 ) 都 
被 配置 在 同一 个 子 网 中 。 当 然 你 也 可 以 使 用 另 一 方案 ， 即 将 PC 机 直接 连接 到 路 由 器 或 将 路 由 器 彼此 
直接 相连 (在 这 里 需要 使 用 交叉 电缆 )。 注 意 ， 这 里 给 出 的 实验 是 针对 真正 的 路 由 器 设计 的 ， 当 然 读 
者 也 可 以 使 用 思科 的 Packet Tracer 程序 。 

下 面 给 出 本 章 的 实验 。 

口 实验 7.1: 备份 路 由 器 的 IOS。 

口 实验 7.2: 升级 或 恢复 路 由 器 的 IOS。 

口 实验 7.3: 备份 路 由 器 的 配置 。 

口 实验 7.4: 使 用 CDP (思科 发 现 协议 )。 

口 实验 7.5: 使 用 Telnet。 

口 实验 7.6: 解析 主机 名 。 


7.13.1 动手 实验 7.1: 备份 路 由 器 的 IOS 


(1) 登录 路 由 器 ， 并 通过 输入 en 或 enable 进入 特权 模式 。 

(2) 在 路 由 器 控制 台 上 ping TFTP 服 务 器 的 卫 地 址 ,以 确认 可 以 与 网 络 上 的 TFTP 服务 器 建立 连接 。 

(3) 输入 show flash 查看 闪存 中 的 内 容 。 

(4) 在 路 由 器 的 特权 模式 提示 符 下 输入 show version 命令 ， 以 获悉 当前 路 由 器 正在 运行 的 IOS 
文件 名 。 如 果 闪 存 中 只 有 一 个 文件 ， 那 么 show flash 和 show version 命令 将 显示 相同 的 文件 。 记 


7.13 动手 实验 247 


住 show version 命令 将 只 显示 当前 正在 运行 的 文件 ， 而 show flash 则 会 显示 闪存 中 的 所 有 文件 。 
(5) 当 确 认 了 可 与 TFTP 服务 器 建立 良好 的 以 太 网 连接 , 并 且 也 知道 了 IOS 文件 名 , 这 时 我 们 就 可 
以 执行 copy flash tftp 来 备份 IOS 文件 了 。 这 个 命令 要 求 路 由 器 将 指定 的 文件 由 闪存 ( 即 IOS 的 
默认 存储 位 置 ) 复制 到 TFTP 服务 器 上 。 
(6) 输入 TFTP 服务 器 的 IP 地 址 和 源 IOS 的 文件 名 。 这 时 ,文件 将 被 复制 并 存储 到 TFTP 服务 器 
的 默认 目录 中 。 


7.13.2 ”动手 实验 7.2: 升级 或 恢复 路 由 器 的 IOS 


(1) 登录 路 由 器 ， 并 通过 输入 en 或 enable 进入 特权 模式 。 

(2) 在 路 由 器 控制 台 上 ping TFTP 服务 器 的 下 地 址 ,以 确认 可 以 与 网 络 上 的 TFTP 服务 器 建立 连接 。 

(3) 当 确 认 了 可 与 TFTP 服务 器 建立 良好 的 以 太 网 连接 ， 执 行 copy tftp flash 命令 

(4) 按照 路 由 器 控制 台 给 出 的 提示 进行 操作 ， 以 确保 路 由 器 在 恢复 或 升级 IOS 期 间 不 会 执行 其 他 
操作 。 当 然 ， 控 制 台 也 可 能 不 给 出 任何 提示 。 

(5) 输入 TFTP 服务 器 的 瑟 地 址 。 

(6) 输入 要 恢复 或 升级 的 IOS 文件 名 。 

(7) 确认 自己 已 经 了 解 了 , 如 果 闪 存 中 没有 足够 空间 容纳 新 的 IOS 文件 , 那么 原先 的 内 容 将 被 删除 。 

(8) 当 新 的 IOS 被 复制 到 内 存 中 时 ， 原 先 保存 在 闪存 中 的 IOS 将 被 删除 ， 对 此 你 也 许 仍 会 感到 惊讶 。 

如 果 闪 存 中 的 文件 已 被 删除 ， 而 新 版 本 文件 又 未 被 复制 到 闪存 ， 路 由 器 将 从 ROM 监控 模式 中 引 
导 。 这 时 我 们 就 需要 找 出 这 一 复制 操作 没有 成 功 的 原因 。 


7.13.3 ”动手 实验 7.3: 备份 路 由 器 的 配置 


(1) 登录 路 由 器 ， 并 通过 输入 en 或 enable 进入 特权 模式 。 

(2) ping TFTP 服务 器 ， 以 确认 可 以 建立 到 TFTP 服务 器 的 IP 连接 。 

(3) 在 RouterB 上 输入 copy run tftp。 

(4) 根据 提示 ,输入 TFTP 服务 器 的 IP 地 址 (例如 172.16.30.2 )， 然 后 按 下 回 车 键 。 

(5) 默认 情况 下 , 路 由 器 将 提示 你 输入 一 个 文件 名 。 这 里 路 由 器 的 主机 名 后 面 需要 跟 后 级 -confg( 注 
意 ， 这 里 的 拼写 正确 )。 这 里 可 以 使 用 任何 文件 名 。 

+. Name of configuration file to write [RouterB-confg]? 
按 下 回 车 键 ， 接 受 默认 的 文件 名 。 
Write file RouterB-confg on host 172.16.30.2?7 [confirm] 


按 下 回 车 键 以 进行 确认 。 
7.13.4 动手 实验 7.4: 使 用 CDP 


(1) 登录 路 由 器 ， 并 通过 输入 en 或 enable 进入 特权 模式 。 

(2) 在 此 路 由 器 上 输入 sh cdp 并 按 下 回 车 键 。 此 时 ， 你 应 可 以 看 到 CDP 分 组 每 60 秒 便 从 所 有 活 
动 的 接口 发 送出 去 ， 并 且 保 持 时 间 为 180 秒 (这 些 都 是 默认 值 )。 

(3) 要 将 CDP 的 更 新 频率 提高 到 90 秒 ， 我 们 可 以 在 全 局 配置 模式 下 输入 命令 cdp timer 90。 


248 第 7 章 管理 思科 互联 网 络 


RouterC#config t 
Enter configuration commands, one per line. End with 
CNTL/2. 
RouterCCconfig)#cdp timer ? 
<5-900> Rate at which CDP packets are sent (in sec) 
RouterC(config)#cdp timer 90 
(4) 在 特权 模式 下 使 用 命令 show cdp 可 以 验证 CDP 定时 器 的 修改 情况 。 
RouterC#sh cdp 
Global CDP information: 
Sending CDP packets every 90 seconds 
Sending a holdtime value of 180 seconds 
(5) 下 面 使 用 CDP 收集 相 邻 路 由 器 的 相关 信息 。 我 们 可 以 通过 sh cdp ?获得 可 用 命令 的 列表 。 
RouterC#sh cdp ? 
entry Information for Specific neighbor entry 
interface CDP interface status and configuration 
neighbors CDP neighbor entries 
traffic CDP statistics’ 
<cr> 
(6) 输入 sh cdp int 来 查看 接口 信息 ， 以 及 此 接口 所 使 用 的 默认 封装 。 它 也 会 给 出 CDP 定时 器 
的 相关 信息 。 
(7) 输入 sh cdp entry * 可 以 查看 接收 自 所 有 设备 的 CDP 信息 。 
(8) 输入 show cdp neighbors 可 以 收集 所 有 已 连接 邻居 的 相关 信息 〈 你 应 当 了 解 由 此 命令 给 出 
的 特定 信息 )。 
(9) 输入 show cdp neighbors detai1。 注 意 ， 它 将 提供 与 show cdp entry * 命 令 相 同 的 输出 内 容 。 


7.13.5 ”动手 实验 7.5: 使 用 Telnet 


(1) 登录 路 由 器 ， 并 通过 输入 en 或 enable 进入 特权 模式 。 

(2) 在 RouterA 的 命令 提示 符 下 输入 telnet ip_address 来 远程 连接 路 由 器 (RouterB )。 输 入 
exit 来 断 开 连 接 。 

(3) 在 RouterA 的 命令 提示 符 下 直接 输入 RouterB 的 IP 地 址 。 注 意 , 此 路 由 器 会 自动 尝试 远程 连接 
指定 IP 地 址 的 设备 。 使 用 telnet 命令 或 只 输入 卫 地 址 都 可 以 实现 远程 连接 操作 。 

(4) 在 RouterB 的 提示 符 下 ， 按 下 Ctrl + Shif + 6 组 合 键 ， 然 后 再 按 下 X 键 ， 就 可 返回 到 RouterA 
的 命令 提示 符 下 。 现 在 可 以 远程 连接 第 三 台 路 由 器 一 一 RouterC。 按 下 Ctrl+ Shift+ 6 组 合 键 ， 然 后 按 
”下 X 键 ,再 次 返回 Router A。 

(5) 在 RouterA 的 提示 符 下 输入 show sessions。 注 意 此 时 存在 两 个 会 话 。 我 们 可 以 输入 显示 在 
session( 会 话 ) 左边 的 号 码 ， 然 后 按 两 次 回 车 键 ， 来 返回 那个 会 话 。 星 号 用 于 指示 默认 的 会 话 。 按 下 
两 次 回 车 键 ， 我 们 就 可 以 直接 返回 到 默认 的 会 话 。 

(6) 进入 与 RouterB 建立 的 会 话 。 输 入 show user。 这 一 命令 将 给 出 控制 台 连 接 和 远程 连接 的 信息 。 
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此 时 ， 我 们 可 以 使 用 disconnect 命令 清除 此 会 话 ， 或 在 提示 符 下 输入 exit 来 关闭 与 RouterB 建立 
的 会 话 。 
(7) 在 初始 路 由 器 RouterA 的 提示 符 下 ， 输 入 show sessions 并 使 用 连接 号 返回 与 RouterC 建立 
的 连接 ， 进 入 Routerc 的 控制 台 端 口 。 输 入 show user 并 注意 查看 与 初始 路 由 器 RouterA 的 连接 。 
(8) 通过 输入 clear 1ine Tine_number 命令 ， 来 中 断 这 个 Telnet 会 话 。 


7.13.6 ”动手 实验 7.6: 解析 主机 名 


(1) 登录 路 由 器 ， 并 通过 输入 en 或 enable 进入 特权 模式 。 

(2) 在 RouterA 的 命令 提示 符 下 ， 输 入 todd 并 按 下 回 车 键 。 注 意 你 收 到 的 错误 信息 和 等 待 延 迟 。 
这 个 路 由 器 正在 通过 查找 DNS 服务 器 尝试 将 主机 名 解析 为 PP 地 址 。 我 们 可 以 在 全 局 配置 模式 下 使 用 
no ip domain-1ookup 命令 关闭 这 个 特性 。 

(3) 要 建立 一 个 主机 表 ， 我 们 需要 使 用 ip host 命令 。 在 RouterA 的 提示 符 下 ， 我 们 输入 下 列 命 
令 在 主机 表 中 为 RouterB 和 RouterC 添加 表 项 : 

ip host routerb ip_address 

ip host routerc ip_address 

下 面 是 一 个 示例 : 

ip host routerb 172.16.20.2 

ip host routerc 172.16.40.2 


(4) 在 特权 模式 的 命令 提示 符 下 (而 不 是 config 提示 符 下 )， 输 入 ping routerb 来 测试 主机 表 。 
RouterA#ping routerb 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 172.16.20.2, timeout 
1s 2 seconds: 
Success rate is 100 percent (5/5), round-trip 
min/avg/max = 4/4/4 ms 
(5) 输 入 ping routerc， 再 次 测试 此 主机 表 。 
RouterA#ping routerc 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 172.16.40.2, timeout 
is 2 seconds: 
Success rate is 100 percent (5/5), round-trip 
min/avg/max = 4/6/8 ms 
(6) 远程 连接 RouterB, 然后 按 下 Ctrl + Shift+ 6 组合 键 并 随后 按 下 X, 以 保持 与 RouterB 的 会 话 并 
返回 RouterA。 
(7) 在 命令 提示 符 下 输入 routerc， 来 远程 连接 RouterC。 
(8) 按 下 Ctrl + Shift+ 6 组 合 键 并 随后 按 下 X， 以 保持 与 RouterC 的 会 话 并 返回 RouterA。 
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(9) 输入 show hosts 并 按 回 车 键 ， 来 查看 此 主机 表 。 
Default domain is not set 

Name/address lookup uses domain service 

Name servers are 255.255.255.255 


Host Flags | Age Type Address(es) 

routerb (perm, OK) 0 IP. 172.16.20.2 

routerc (perm, OK) 0 IP 172.16.40.2 
7.14 复习 题 


下面 的 复习 题 首 在 测 议 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 是 的 
注意 ” 信息， 请 参阅 本 书 的 前 言 


(1) 命令 confreg 0x2142 的 作用 是 什么 ? 


A. 用 于 重启 路 由 器 B. 用 于 绕 过 NVRAM 中 的 配置 
C. 用 于 进入 ROM 监控 模式 D. 用 于 查看 丢失 的 口令 
(2) 哪个 命令 将 用 于 复制 IOS 到 你 网 络 中 的 备份 主机 上 ? 
A. transfer IOS to 172.16.10. 1 
C. copy tftp flash 
E. copy flash tftp 
(3) 你 正在 排除 公司 网 络 中 的 一 个 连接 故障 ， 并 且 希 望 隔离 这 个 问题 。 你 怀疑 在 通 往 不 可 达 网 络 路 由 上 
的 某 台 路 由 器 发 生 了 故障 。 你 可 以 使 用 IOS 的 哪个 用 户 可 执行 命令 ? 
A.Router>ping 
C. Router>show ip route 
E. Router>show cdp neighbors 
(4) 人 这 个 配置 文件 看 起 来 是 正确 的 ， 但 却 
根本 不 能 工作 。 导 致 这 个 问题 的 原因 是 什么 ? 
A. 你 复制 了 错误 的 配置 到 RAM 中 
B. 你 将 配置 复制 到 了 闪存 中 
C. 这 一 副本 不 能 不 考虑 在 正在 运行 配置 中 的 shutdown 命令 的 影响 
D. IOS 将 会 在 这 一 copy 命令 执行 后 被 破坏 
(5) 某 网 络 管理 员 想 在 不 删除 当前 安装 的 IOS 的 情况 下 ,对 路 由 器 的 IOS 进行 升级 。 哪 个 命令 可 以 显示 
当前 IOS 文件 占用 的 内 存 空间 ， 并 指出 是 否 有 足够 的 可 用 空间 保存 当前 的 和 新 的 映像 文件 ? 
A. show version B. show flash C. Show memory 
D. show buffers E. show running-config 
(6) 公司 办 公 室 发 给 你 一 台新 的 要 连接 的 路 由 器 ， 连 接 好 控制 台电 缆 后 ， 你 发 现在 这 个 路 由 器 上 已 经 存 
在 一 个 配置 。 在 向 这 个 路 由 器 输入 新 的 配置 之 前 ， 你 需要 做 一 些 什么 ? 


B. copy run start 
D. copy start tftp 


B. Router>trace 
D. Router>show interface 


A. 应 该 擦 除 RAM 内 容 并 重启 路 由 器 B. 应 该 擦 除 闪 存 内 容 并 重启 路 由 器 
C. 应 该 擦 除 NVRAM 内 容 并 重启 路 由 器 D. 应 该 输入 并 保存 新 配置 文件 


(7) 哪个 命令 可 以 加 载 新 版 本 的 思科 IOS 到 路 由 器 中 ? 


A. copy flash ftp B. copy ftp flash 
C. copy filash tftp D. copy tftp flash 
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(8) 哪个 命令 可 以 显示 路 由 器 上 正在 运行 的 IOS 版 本 ? 


A. sh IO0S B. sh flash C. sh version D. sh running-conf1ig 
(9) 成 功 完成 密码 恢复 后 ， 应 该 如 何 配置 寄存 器 的 值 ， 来 让 路 由 器 返回 正常 的 操作 过 程 ? 
A. 0x2100 B. 0x2101 C. 0x2102 D. 0x2142 


(10) 你 在 路 由 器 上 使 用 copy running-config startup-config 命令 保存 配置 文件 并 重启 了 路 由 器 。 
然而 ， 该 路 由 器 却 使 用 一 个 空白 配置 完成 了 启动 。 问 题 可 能 出 在 哪里 ? 
A. 你 没有 使 用 正确 的 命令 启动 路 由 器 
B.NVRAM 有 问题 
C. 配置 寄存 器 的 设置 不 正确 
D. 新 升级 的 IOS 与 路 由 器 的 硬件 不 兼容 
E. 你 保存 的 配置 与 硬件 不 兼容 “ 
(11) 如 果 想 在 同一 时 刻 拥有 多 个 Telnet 会 话 ， 你 需要 使 用 什么 样 的 按键 组 合 ? 
A. Tab+ 空 格 键 B. Ctrl+X， 然 后 按 下 6 
C. Ctrl+Shift+X， 然 后 按 下 6 D. Ctrl+Shift+6， 然 后 按 下 X 
(12) 在 远程 登录 某 台 远程 设备 时 没 能 成 功 ， 但 是 可 以 远程 登录 较 近 的 路 由 器 ， 并 且 你 仍 能 ping 此 远程 
设备 。 可 能 出 现 了 什么 问题 ? (选择 其 中 的 两 个 。) 


A. IP 地 址 不 正确 B. 访问 控制 列表 过 滤 了 Telnet 
C.， 存在 一 条 有 缺陷 的 串 行 电缆 D. VTY 口令 没有 设置 

(13) 命令 show hosts 将 会 给 出 什么 信息 ? 选择 其 中 的 两 个 。) 
A. 临时 DNS 表 项 


B. 使 用 hostname 命令 创建 的 路 由 器 名 字 
C. 被 允许 访问 路 由 器 的 工作 站 的 IP 地址 
D. 使 用 ip host 命令 创建 的 、 永 久 的 和 名字 到 地 址 的 映射 
E. 某 主机 通过 Telnet 连接 到 路 由 器 的 时 间 长 度 
(14) 哪 3 个 命令 可 以 用 于 检查 路 由 器 上 的 局 域 网 连通 性 问题 ? 
A. show interfaces B. show ip route C. tracert 
D. ping E.dns lookups 
(15) 你 远程 登录 了 某 台 路 由 器 ， 并 完成 了 对 配置 的 必要 修改 ， 而 现在 想 结束 这 个 Telnet 会 话 。 你 需要 
输入 什么 命令 ? 
A.close B. disable C. disconnect D. exit 
(16) 远程 登录 某 个 设备 并 输入 debug ip rip 命令 ， 但 是 并 没有 得 到 来 自 此 debug 命令 的 输出 。 可 能 
出 现 了 什么 问题 ? 
A. 你 必须 首先 输入 show ip rip 命令 
B. 此 网 络 上 的 IP 编 址 不 正确 
C. 你 必须 使 用 terminal monitor 命令 
D. 调试 输出 只 能 发 送 给 控制 台 
(17) 哪个 命令 可 以 用 于 显示 配置 寄存 器 的 设置 ? 


A. show ip route B. show boot version 
C. show version D. show flash 


(18) 你 需要 获得 位 于 夏威夷 州 的 某 台 远程 交换 机 的 人 P 地 址 。 怎 样 才 能 找 出 这 一 地 址 ? 
A. 飞 到 夏威夷 ， 连 接 到 交换 机 的 控制 台 ， 然 后 放松 一 下 ， 在 太阳 伞 下 小 酌 一 杯 
B. 在 连接 到 此 交换 机 的 路 由 器 上 使 用 show ip route 命令 
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C. 在 连接 到 此 交换 机 的 路 由 器 上 使 用 show cdp neighbor 命令 
D. 在 连接 到 此 交换 机 的 路 由 器 上 使 用 show ip arp 命令 
E. 在 连接 到 此 交换 机 的 路 由 器 上 使 用 show cdp neighbors detaii1 命令 
(19) 你 将 自己 的 笔记 本 电脑 直接 连接 到 了 某 台 路 由 器 的 以 太 网 端口 。 要 成 功 运行 copy flash tftp 命 
令 ， 还 需要 满足 下 列 哪些 条 件 ? 选择 其 中 三 个 。) 
A. 在 此 路 由 器 上 必须 运行 有 TFTP 服务 器 软件 
B. 在 你 的 笔记 本 电脑 上 必须 运行 有 TFTP 服务 器 软件 
C. 将 笔记 本 电脑 直接 连接 到 路 由 器 的 以 太 网 端口 的 以 太 网 电缆 必须 是 一 条 直通 电缆 
D. 此 笔记 本 电脑 必须 与 路 由 器 的 以 太 网 接口 位 于 相同 的 子 网 中 
E. 命令 copy flash tftp 必须 使 用 笔记 本 电脑 的 瑟 地 址 
F. 在 路 由 器 的 闪存 中 必须 有 足够 空间 容纳 被 复制 的 文件 
(20) 配置 寄存 器 的 设置 0x2102 为 路 由 器 提供 了 什么 功能 ? 
A. 告 诉 路 由 器 要 引导 到 ROM 监控 模式 中 
B. 提供 口令 恢复 
C. 告诉 路 由 器 要 查看 NVRAM 来 决定 引导 顺序 
D. 从 某 个 TFTP 服务 器 上 引导 IOS 
E. 引导 保存 在 ROM 中 的 IOS 映像 
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(DB。 默 认 配 置 的 设置 是 0x2102, 此 设置 要 求 路 由 器 从 闪存 中 加 载 IOS 并 从 NVRAM 中 加 载 配 置 文件 。 
0x2142 告诉 路 由 器 忽略 NVRAM 中 的 配置 文件 以 便 完 成 密码 恢复 。 

(2)E。 要 将 默认 存储 在 闪存 中 的 IOS 文件 复制 到 备份 用 的 主机 上 ， 可 以 使 用 copy flash tftp 命令 。 

(3) B。 命令 traceroute (简写 为 trace ) 可 以 工作 在 用 户 模 式 或 特权 模式 下 ， 用 于 查找 分 组 在 网 络 上 
的 传输 路 径 ， 同 时 还 指出 分 组 因 某 个 路 由 器 出 错 而 导致 停留 的 网 络 位 置 。 

(4) C。 由 于 配置 看 起 来 是 正确 的 ， 因 此 不 必 再 纠结 于 复制 操作 。 然 而 ， 当 执行 从 网 络 主机 到 路 由 器 的 
复制 操作 时 ， 注 意 接口 会 自动 关闭 ， 故 你 需要 执行 no shutdown 命令 手工 启动 此 接口 。 

(5) B。 命 令 show flash 可 以 显示 当前 的 IOS 名 称 和 大 小 以 及 闪存 容量 等 信息 。 

(6) C。 在 配置 路 由 器 之 前 ， 你 应 该 使 用 erase startup-config 命令 清空 NVRAM, 然后 使 用 reload 
命令 重新 启动 路 由 器 。 

(7)D。 命 令 copy tftp flash 允许 你 将 新 的 IOS 复制 到 路 由 器 的 闪存 中 。 

(8) C。 最 好 的 选择 是 show version, 此 命令 将 指出 路 由 器 当前 正在 运行 的 IOS 文件 。 命 令 show flash 
显示 的 是 闪存 的 内 容 ， 而 不 是 运行 中 的 文件 。 

(9) C。 所 有 的 思科 路 由 器 其 默认 的 配置 寄存 器 值 均 是 0x2102， 它 要 求 路 由 器 从 闪存 中 加 载 IOS， 从 
NVRAM 中 加 载 配置 文件 。 

(10) C。 如 果 在 保存 配置 并 重新 启动 路 由 器 后 ， 路 由 器 进入 设置 模式 或 加 载 了 空 配 置 文件 ， 则 可 能 的 原 
因 是 配置 寄存 器 的 设置 不 正确 。 

(11) D。 要 保持 一 个 或 者 多 个 Telnet 会 话 ， 可 以 使 用 Ctrl + Shift + 6 组 合 键 并 随后 按 下 义 键 。 

(12)B、D。 记 住 ， 最 佳 的 答案 是 某 个 访问 控制 列表 过 滤 了 此 Telnet 会 话 ， 或 者 是 远程 设备 上 没有 设置 
VTY 密码 。 
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(13) A、D。 命 令 show hosts 可 以 显示 有 关 临 时 DNS 表 项 和 使 用 ip host 命令 创建 的 永久 性 名 称 到 
地 址 的 映射 的 信息 。 

(14) A、B、D。 命 令 tracert 是 Windows 下 的 一 个 命令 , 不 能 用 在 路 由 器 上 ! 路 由 器 上 使 用 traceroute 
命令 。 

(15) D。 由 于 问题 并 没有 提 到 任何 关于 中 止 会 话 的 操作 ,因此 可 以 假定 此 Telnet 会 话 仍然 处 于 打开 状态 ， 
所 以 只 需 输入 exit 关闭 此 会 话 。 

(16) C。 要 通过 Telnet 会 话 查 看 给 定 控制 台 的 信息 ， 我 们 必须 使 用 terminal monitor 命令 。 

(17) C。 命 令 show version 可 以 给 出 当前 配置 寄存 器 中 的 设置 。 

(18)E。 尽管 选项 A 看 起 来 是 “最 好 ”的 , 但 选项 了 更 好 一 些 ， 而 且 老 板 也 可 能 更 希望 你 使 用 show cdp 
neighbors detail 命令 。 

(19) B、D、E。 在 将 一 个 IOS 映像 文件 备份 到 与 路 由 器 以 太 网 端口 直接 相连 的 笔记 本 电脑 之 前 ， 你 需 
要 确认 此 笔记 本 电脑 上 运行 了 TFTP 服务 器 软件 , 并 且 使 用 的 以 太 网 电缆 是 交叉 电费, 同时 笔记 本 电脑 和 路 
由 器 的 以 太 网 端口 同 在 一 个 子 网 内 , 最 后 才 可 以 在 笔记 本 电脑 上 使 用 copy flash tftp 命令 进行 备份 操作 。 

(20) C。 上 默认 的 配置 设置 是 0x2102， 它 要 求 路 由 器 在 NVRAM 中 查找 启动 顺序 。 


7.16 书面 实验 7 答案 


7.16.1 书面 实验 7.1 


(1) copy flash tftp 

(2) copy start tftp 

(3) copy start run 

(4) config mem 

(5) show cdp neighbor detail or show cdp entry * 
(6) show cdp neighbor 

(7) Ctr1+Shift+6， 然 后 按 下 义 

(8) show sessions 

(9) copy tftp flash 

(10) copy tftp run 或 copy start run 


7.16.2 ”书面 实验 7.2 


(1) 闪存 (2) ROM 
(3) NVRAM (4) ROM 
(5) RAM (6) RAM 
(7) ROM (8) ROM 


(9) RAM (10) RAM 
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本 章 将 涵盖 如 下 CCNA 考试 要 点 。 

v 描述 网 络 的 工作 方式 

口 确定 两 台 主 机 间 的 网 络 连接 路 径 。 

v 配置 、 验 证 思科 设备 的 基本 路 由 器 运行 方式 和 路 由 选择 ， 并 排除 这 些 方 面 的 故障 

口 描述 基本 的 路 由 选择 概念 ( 包括 分 组 的 转发 、 路 由 器 的 查找 方法 ); 

口 RIPv2 的 配置 、 验 证 及 排 错 ; . : 

口 访问 并 使 用 路 由 器 设置 基本 的 参数 (包括 CLVSDM ); 

口 连接 、 配 置 并 验证 设备 接口 的 工作 状态 ; 

口 使 用 ping、Traceroute、Telnet、SSH 或 其 他 工具 验证 设备 的 配置 和 网 络 的 连通 性 ; 

口 根据 特定 的 路 由 选择 需求 , 通过 建立 静态 路 由 或 默认 路 由 , 来 完成 并 验证 指定 的 路 由 选择 配置 ; 

口 对 照 并 比较 多 种 路 由 选择 方法 和 路 由 选择 协议 ; 

口 OSPF 的 配置 、 验 证 及 排 错 ; 

口 EIGRP 的 配置 、 验 证 及 排 错 ; 

口 验证 网 络 的 连通 性 (包括 使 用 ping、traceroute、Telnet 或 SSH ); 

口 路 由 选择 问题 的 排 错 ; 

口 使 用 show 或 debug 命令 验证 路 由 器 的 硬件 和 软件 的 运行 状态 ; 

口 保障 路 由 器 的 基本 安全 。 

本 章 探讨 卫 路 由 选择 的 实现 方式 。 由 于 这 一 内 容 与 所 有 路 由 器 以 及 使 用 下 完成 配置 的 操作 直接 
相关 ， 因此 是 一 个 学 习 重 点 。IP 路 由 选择 是 一 个 通过 路 由 器 将 分 组 从 一 个 网 络 搬运 到 另 一 个 网 络 的 过 
程 。 当 然 ， 同 前 面 一 样 ， 这 里 提 到 的 路 由 器 都 是 指 思 科 的 路 由 器 ! 

在 学 习 本 章 之 前 ， 读 者 首先 需要 正确 理解 路 由 选择 协议 和 被 路 由 协议 的 区 别 。 路 由 选择 协议 被 路 
由 器 用 于 在 彼此 互联 的 网 络 上 动态 地 发 现 所 有 网 络 , 这 一 协议 可 以 确保 所 有 路 由 器 都 拥有 相同 的 路 由 
选择 表 。 从 根本 上 讲 ， 路 由 选择 协议 用 来 确定 分 组 通过 互联 网 络 时 的 路 径 。 常 见 的 路 由 选择 协议 有 
RIP、RIPvV2、EIGRP 和 OSPF 协议 。 

一 旦 互联 网 络 中 所 有 的 路 由 器 对 所 有 的 网 络 都 有 了 了 解 , 被 路 由 协议 就 可 以 被 用 来 通过 这 个 已 配 
置 完 善 的 互联 网 络 发 送 用 户 数据 ( 分 组 )。 被 路 由 协议 需要 被 指定 到 接口 上 并 用 于 确定 分 组 的 递交 方 
式 。 常 见 的 被 路 由 协议 包括 IP 和 IPv6。 

注意 ， 真 正 掌握 这 一 部 分 的 内 容 是 十 分 重要 的 。 目 前 为 止 ， 这 些 内 容 读者 多 半 已 经 理解 了 。 思 
科 路 由 器 所 做 的 基本 工作 就 是 IP 路 由 选择 ， 而 且 它 们 将 这 个 工作 完成 得 非常 好 。 此 外 ， 本 章 将 只 讨 
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论 这 些 内 容 中 最 基础 的 部 分 ， 如 果 想 真正 理解 本 书 所 包含 的 考试 要 点 ， 那 么 这 一 部 分 内 容 就 是 你 必 
须 掌握 的 。 

本 章 将 介绍 如 何 使 用 思科 路 由 器 完成 下 路 由 选择 的 配置 和 验证 操作 。 所 涉及 的 内 容 包 括 : 

口 路 由 选择 基础 ; 

口 PP 路 由 选择 过 程 ; 

口 静态 路 由 选择 ; 

口 默认 路 由 选择 ; 

口 动态 路 由 选择 。 

在 第 9 章 ， 我 们 将 通过 介绍 EIGRP 和 OSPF 更 加 深入 地 探讨 增强 的 、 动 态 路 由 选择 。 但 在 这 里 ， 
读者 首先 需要 正确 理解 基础 性 内 容 一 一 分 组 是 如 何 通过 一 个 互联 网 络 进行 传送 的 。 


有 关 本 章 内 容 的 最 新 修订 ,请 访问 www.lammle.com 或 www.sybex.com/go/ccna7e。 
注意 


8.1 路 由 选择 基础 


一 旦 将 多 个 WAN 和 LAN 连接 到 路 由 器 , 一 个 彼此 互联 的 网 络 就 创建 起 来 了 , 而 接 下 来 要 完成 的 
工作 就 是 为 此 互联 网 络 上 的 所 有 主机 配置 逻辑 的 网 络 地 址 , 如 人 PP 地址 , 以 便 这 些 主机 能 够 通过 这 一 - 互 
联网 络 进行 通信 。 

路 由 选择 是 指 将 分 组 从 一 个 设备 通过 互联 网 络 发 往 位 于 不 同 网 络 上 的 另 一 个 设备 的 操作 。 路 由 器 
不 关注 网 络 中 的 主机 ， 而 只 关注 互联 起 来 的 网 络 以 及 通 往 各 个 网 络 的 最 佳 路 径 。 目 标 主机 的 逻辑 网 络 
地 址 用 来 获取 通过 可 路 由 网 络 传送 到 指定 网 络 中 的 分 组 ， 主 机 的 硬件 地 址 用 来 将 分 组 从 路 由 器 投递 到 
正确 的 目标 主机 上 。 

如 果 网 络 中 没有 使 用 路 由 器 ， 那么 自然 也 就 不 会 需要 路 由 选择 。 路 由 器 可 以 在 互联 网 络 中 将 用 户 
数据 路 由 到 所 有 网 络 中 。 要 实现 对 分 组 的 路 由 ， 路 由 器 至 少 必须 了 解 以 下 内 容 : 

口 目的 地 址 ; 

口 借以 获取 远程 网 络 信息 的 相 邻 路 由 器 ; 

口 到 达 所 有 远程 网 络 的 可 能 路 由 ; 

口 到 达 每 个 远程 网 络 的 最 佳 路 由 ; 

口 维护 并 验证 路 由 选择 信息 的 方式 。 

路 由 器 从 相 邻 的 路 由 器 或 管理 员 那 里 了 解 有 关 远 程 网 络 的 信息 ,然后 建立 一 个 描述 如 何 查找 远程 
网 络 的 路 由 选择 表 〈 即 互联 网 络 的 一 张 地 图 )。 如 果 某 个 网 络 与 路 由 器 是 直接 相连 的 ， 那 么 路 由 器 自 
然 就 知道 如 何 到 达 这 个 网 络 。 

如 果 某 个 网 络 没有 与 路 由 器 直接 相连 , 那么 路 由 器 就 必须 通过 这 样 两 种 方式 了 解 如 何 到 达 这 个 远 
程 网 络 : 静态 的 路 由 选择 ， 即 必须 由 专人 手工 将 所 有 的 网 络 位 置 输入 路 由 选择 表 ; 动态 的 路 由 选择 。 

在 动态 路 由 选择 的 过 程 中 ， 路 由 器 上 运行 的 协议 将 与 相 邻 路 由 器 上 运行 的 同一 协议 进行 通信 。 在 
此 基础 上 ， 这 些 路 由 器 可 以 不 断 更 新 各 自 对 所 有 网 络 的 了 解 ， 并 将 相关 的 信息 加 入 到 路 由 选择 表 中 。 
如 果 网 络 连接 出 现 变 化 ,这 个 动态 路 由 选择 协议 就 会 将 这 个 变化 自动 通知 到 所 有 的 路 由 器 。 如 果 使 用 
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静态 路 由 选择 , 管理 员 需 要 在 所 有 路 由 器 上 通过 手动 输入 的 方式 更 新 所 有 的 相关 配置 。 在 大 型 的 网 络 
中 ,动态 和 静态 路 由 选择 通常 会 被 同时 使 用 。 

在 学 习 亿 路 由 选择 之 前 , 我 们 先 来 看 一 个 路 由 选择 的 简单 示例 , 通过 它 可 以 了 解 路 由 器 是 如 何 通 
过 使 用 路 由 选择 表 将 分 组 路 由 出 接口 的 。 在 下 个 单元 中 ,我 们 将 对 这 个 过 程 进行 更 加 详尽 地 讨论 ， 注 
意 这 里 将 使 用 “最 长 匹配 规则 ”进行 路 由 选择 匹配 , 即 IP 会 在 路 由 选择 表 中 查找 与 分 组 目标 地 址 具有 
最 长 匹配 内 容 的 表 项 进行 路 由 。 下 面 是 个 示例 。 

图 8-1 给 出 了 一 个 只 包含 两 个 路 由 器 的 简单 网 络 。 路 由 器 Lab A 配 有 1 个 串 行 接口 和 3 个 LAN 
接口 。 


国 图 
= 


10.10.20.1/24 | 车 


10.10.40.1/24 
Fa0/2 
10.10.30.1/24 


图 8-1 pe 


在 图 8-1 中 ， 路 由 器 Lab_A 将 用 哪个 接口 向 人 P 地 址 为 10.10.10.10 的 主机 转发 数据 包 ? 

通过 命令 show ip route， 我 们 可 以 看 到 Lab A 用 于 进行 转发 判断 的 路 由 选择 表 ( 即 对 互联 网 
络 连 接 的 映射 ): 

Lab_A#sh ip route 


[output cut] 
Gateway of last resort is not set 


C 10.10.10.0/24 is directly connected, FastEthernet0/0 
< 10.10.20.0/24 is directly connected, FastEthernet0/1 
C 10.10.30.0/24 is direct1y connected, FastEthernet0/2 
C 10.10.40.0/24 is directly connected, Serial 0/0 


在 此 路 由 选择 表 输 出 中 的 C 用 于 表示 所 列 出 的 网 络 是 “直接 连接 的 "。 注 意 ， 在 将 某 个 路 由 选择 
协议 (诸如 RIP、EIGRP 等 ) 添加 到 互联 网 络 中 的 路 由 器 〈 或 使 用 静态 路 由 选择 ) 之 前 ， 路 由 器 的 路 
由 选择 表 中 只 会 包含 直接 连接 的 网 络 。 

现在 回 到 最 初 的 问题 上 : 根据 示例 中 的 拓扑 图 和 路 由 选择 表 的 输出 ，IP 将 会 如 何 处理 目 标 P 地 
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址 为 10.10.10.10 的 分 组 ”路 由 器 会 将 这 一 分 组 交换 到 FastEtheret 0/0 接口 , 之 后 , 此 接口 会 将 分 组 封 
装 成 帧 ， 然 后 再 将 此 帧 发 送 到 指定 的 网 段 中 。 对 于 最 长 匹配 规则 需要 再 次 说 明 的 是 ， 在 本 示例 中 IP 
将 会 在 路 由 选择 表 中 首先 查找 10.10.10.10， 如 果 没 有 找到 则 查找 10.10.10.0， 随 后 查找 10.10.0.0， 此 
过 程 将 会 进行 下 去 直到 找到 为 止 。 

下 面 是 另外 一 个 示例 : 这 里 给 出 了 另 一 个 路 由 选择 表 的 输出 ， 其 中 哪个 接口 将 用 于 转发 目标 地 址 
为 10.10.10.14 的 分 组 ? 


Lab_A#sh ip route 
[output cut] 


Gateway of last resort is not set 


C 10.10.10.16/28 is directly connected, FastEthernet0/0 
C 10.10.10.8/29 is directly connected, FastEthernet0/1 

< 10.10.10.4/30 is directly connected, FastEthernet0/2 

C 10.10.10.0/30 jis directly connected, Serial 0/0 


首先 ， 你 应 该 注意 到 此 网 络 已 经 完成 了 子 网 的 划分 ， 并 且 它 的 每 个 接口 均 配 置 了 不 同 的 掩 码 。 需 
要 提醒 的 是 ， 如 果 你 还 没有 学 会 子 网 划分 ， 那 么 就 解答 不 了 这 里 的 问题 ! 10.10.10.14 是 一 台 位 于 
10.10.10.8/29 子 网 中 的 主机 ， 它 连接 了 FastEthermetO/l 接口 。 如 果 对 此 回答 还 一 时 反应 不 过 来 ， 这 也 
很 正常 。 但 如 果 对 这 一 答案 感到 十 分 困惑 ， 那 么 就 应 该 返回 第 4 章 并 重读 相关 的 内 容 ， 这 会 为 后 续 内 
容 的 学 习 葛 定 基础 。 

在 完全 理解 了 这 里 的 内 容 之 后 ， 下 面 将 对 这 一 路 由 选择 过 程 进行 更 为 详尽 地 讨论 。 


8.2 ”1IP 路 由 选择 过 程 


IP 的 路 由 选择 是 一 个 相当 简单 的 、 没 有 什么 变化 的 过 程 ， 并 且 这 一 选择 过 程 与 网 络 的 大 小 无 关 。 
接 下 来 ， 我 们 以 图 8-2 为 例 ， 分 步骤 讲述 Host_A 与 不 同 网 络 上 的 Host_B 进行 通信 时 的 情况 。 


Host A 


ee E0 El 
2 2 
172 16.102 172.16.10.1 172.16.20.1 172 .16.202 


8-2 ”使 用 两 台 主 机 和 一 个 路 由 器 的 人 P 路 由 选择 示例 


在 这 个 示例 中 ，Host_A 上 的 某 个 用 户 对 Host_B 的 下 地址 执行 了 ping 操作 。 这 一 过 程 就 涉及 了 
最 基本 的 路 由 选择 ,但 包含 许多 个 步骤 。 下 面 就 来 具体 讨论 一 下 这 些 步骤 。 

(1) 因特网 控制 报 文 协议 (ICMP ) 将 创建 一 个 回应 请 求 数据 包 ( 此 数据 包 的 数据 域 中 只 包含 字母 )。 

(2) ICMP 会 将 这 一 有 效 负荷 递交 给 因特网 协议 ( IP )，IP 协议 会 用 它 创建 一 个 分 组 。 至 少 , 源 卫 
地 址 、 目 标 IP 地 址 和 值 为 01h 的 协议 字段 ( 记 住 思科 更 习惯 于 在 十 六 进 制 字 符 前 添加 0x， 所 以 这 个 
协议 字段 就 应 该 表示 为 0x01 ) 将 被 封装 到 此 分 组 中 。 当 此 分 组 到 达 目 的 方 时 , 这 些 内 容 就 会 告诉 接收 
方 主机 应 该 将 这 个 有 效 负荷 交付 给 哪个 协议 来 处 理 ， 本 例 中 就 是 ICMP。 
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(3) 一 旦 这 个 分 组 被 创建 ， 卫 协议 就 需要 判断 目标 IP 地 址 的 位 置 ， 判 断 此 目的 方位 于 本 地 网 络 还 
是 某 个 远程 网 络 。 

(4) 由 于 四 协议 判定 这 是 一 个 远程 的 跨 网 络 请 求 ， 而 要 将 这 一 分 组 路 由 到 远程 网 络 ， 就 必须 将 它 
发 送 给 默认 网 关 。 在 这 里 ， 我 们 需要 打开 Windows 中 的 注册 表 查 找 已 配置 的 默认 网 关 。 

(5) 主机 172.16.10.2 ( Host_A ) 的 默认 网 关 被 配置 为 172.16.10.1。 要 将 这 一 分 组 发 送 给 此 默认 网 
关 ， 我们 就 必须 知道 路 由 器 的 Ethernet 0 ( 172.16.10.1 就 是 配置 给 它 的 IP 地 址 ) 接口 的 硬件 地 址 。 为 
什么 要 这 样 ? 这 是 因为 只 有 知道 了 接口 的 硬件 地 址 ， 分 组 才 可 以 向 下 递交 给 数据 链 路 层 ， 并 在 那里 完 
成 帧 的 组 建 ， 然 后 再 将 帧 发 送 给 与 172.16.10.0 网 络 相连 接 的 路 由 器 接口 。 在 本 地 局 域 网 上 ， 主 机 只 能 
通过 硬件 地 址 完成 通信 ， 因 此 若 Host_A 要 与 Host B 通信 ， 它 必须 首先 使 用 本 地 网 络 中 默认 网 关 的 
MAC 地 址 将 分 组 发 送 给 网 关 ， 理 解 这 一 点 是 非常 重要 的 。 


J MAC 地 址 永远 只 能 作用 于 本 地 LAN 网 络 ， 不 可 能 绕 过 或 通过 路 由 器 。 
注意 


(6) 接 下 来 , 需要 检查 主机 的 ARP 缓存 , 查看 此 默认 网 关 的 人 P 地址 是 否 已 被 解析 为 一 个 硬件 地 址 。 
口 如 果 已 被 解析 ， 此 分 组 就 可 被 传送 到 数据 链 路 层 以 组 建成 帧 。( 目的 方 的 硬件 地 址 也 将 随 分 组 
一 起 下 传 到 数据 链 路 层 )。 要 查看 主机 上 的 ARP 缓存 ， 我 们 可 以 使 用 如 下 命令 : 


C:\>arp -a 

Interface: 172.16.10.2 --- Ox3 
Internet Address Physical Address Type 
172.16.10.1 00-15-05-06-31-b0 dynamic 


口 如 果 在 主机 的 ARP 缓存 中 没有 被 解析 的 硬件 地 址 , 那么 用 于 查找 172.16.10.1 硬件 地 址 的 ARP 
广播 将 被 发 送 到 本 地 网 络 上 。 这 时 ， 示 例 中 的 路 由 器 会 响应 这 个 请 求 ， 并 提供 Ethernet0 的 硬 
件 地 址 ， 此 后 主机 会 接收 并 缓存 这 个 地 址 。 
(7) 一 旦 分 组 和 目的 方 的 硬件 地 址 被 交付 给 数据 链 路 层 ， 局 域 网 驱动 程序 负责 选用 适合 所 在 局 域 
网 类 型 (本 例 中 为 以 太 网 ) 的 介质 访问 方式 。 通 过 将 控制 信息 封装 到 此 分 组 上 帧 就 被 创建 了 。 在 这 
个 帧 中 ， 附 加 有 目的 方 硬件 地 址 和 源 硬件 地 址 ， 以 及 以 太 网 类 型 字段 ， 这 个 字段 用 于 描述 给 数据 链 
路 层 交 付 帧 中 分 组 的 网 络 层 协 议 ， 在 本 示例 中 ， 这 个 协议 为 耳 。 在 帧 的 尾部 是 FCS ( Frame Check 
Sequence， 帧 校 验 序 列 ) 字段 ， 这 个 部 分 装载 了 CRC ( 循环 宛 余 校 验 ) 的 计算 结果 。 图 8-3 中 给 出 
了 此 帧 的 完整 结构 。 可 以 看 出 ， 此 帧 中 包含 Host_A 的 硬件 (MAC ) 地 址 以 及 作为 目标 方 地 址 的 默认 
网 关 的 硬件 地 址 。 注 意 ， 这 里 并 没有 包含 远程 主机 的 MAC 地 址 ! 


目标 MAC “| 源 MAC 以 太 网 类 分 组 | FCS 
(路 由 器 E0 MAC 地 址 ) | (Host_A MAC 地 址 ) | 型 字段 (CRC) 
8-3” 当 ping Host_B 时 ，Host_A 发 给 路 由 器 Lab_A 的 帧 结构 


(8) 一 旦 帧 创建 完成 ， 这 个 帧 将 被 交付 给 物理 层 ， 物 理 层 会 以 一 次 一 比特 的 方式 将 帧 发 送 到 物理 
介质 (在 本 示例 中 为 双 绞 线 ) 上 。 
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(9) 这 时 ， 此 冲突 域 中 的 每 台 设 备 都 会 接收 这 些 比特 ， 并 将 它们 重新 组 建成 帧 。 每 个 设备 都 会 对 
”接收 到 的 内 容 进行 CRC 运算 ， 并 与 帧 中 FCS 字段 的 内 容 进 行 比 对 。 如 果 值 不 匹配 ， 接 收 到 的 帧 将 被 
丢 奔 。 

口 如 果 这 个 CRC 计算 机 结果 与 帧 中 FCS 字段 的 内 容 匹配 , 接着 将 检查 目的 方 的 硬件 地 址 与 自己 

《本 示例 中 指 的 是 路 由 器 的 Ethemet 0 接口 ) 是 否 匹 配 。 

口 如 果 匹 配 ， 则 接 下 来 查看 以 太 网 类 型 字段 ， 以 获悉 完成 数据 后 续 处 理 的 网 络 层 协议 。 

(10) 将 分 组 从 帧 中 取出 ， 并 将 其 他 部 分 丢弃 。 然 后 ， 分 组 被 递交 给 以 太 网 类 型 字段 中 列 出 的 协 
示例 中 是 IP。 

人 1) 再 将 接收 这 个 分 组 , 并 检查 它 的 瑟 目的 地 址 。 由 于 分 组 的 目的 地 址 与 配置 到 此 接收 路 由 器 上 
的 各 个 地 址 均 不 匹配 ， 此 路 由 器 会 在 其 路 由 选择 表 中 查找 目的 方 的 卫 网 络 的 地 址 。 

(12) 在 此 路 由 选择 表 中 需要 包含 网 络 172.16.20.0 的 相关 表 项 , 否则 路 由 器 会 立即 将 收 到 的 分 组 丢 
弃 ， 并 同时 向 发 送 数 据 的 源 方 设备 回 送 一 个 携带 有 目标 网 络 不 可 达 信 息 的 ICMP 报 文 。 

(13) 如 果 路 由 器 在 路 由 选择 表 中 查找 到 了 关于 目的 方 网 络 的 内 容 ， 则 分 组 将 被 交换 到 指定 的 输出 
接口 一 一 在 本 示例 中 为 接口 Ethemet 1。 下 面 给 出 了 Lab_A 路 由 器 的 路 由 选择 表 。 其 中 ，C 表示 “ 直 
接连 接 ”。 由 于 这 个 网 络 中 所 有 网 络 (总 共 就 两 个 网 络 ) 都 是 直接 相连 的 ， 因 此 这 里 不 必 使 用 路 由 选 
择 协 议 。 

Lab_A>sh ip route 

Codes:C - connected,S - static,l - IGRP,R - RIP,M - mobile,B — 

Loutput cut] 

Gateway of last resort is not set 


议 


172.16.0.0/24 is subnetted, 2 subnets 
C 172.16.10.0 is directly connected，Ethernet0 
C 172.16.20.0 is directly connected, Ethernet1 


(14) 路 由 器 将 此 分 组 交换 到 Ethernet 1 的 缓冲 区 内 。 

(15) 此 Ethernet 1 的 缓冲 需要 获得 目的 方 主机 的 硬件 地 址 ， 因 此 会 首先 查看 ARP 缓存 。 

口 如 果 Host-B 的 硬件 地 址 已 经 被 解析 并 保存 在 路 由 器 的 ARP 缓存 中 , 那么 此 分 组 和 硬件 地 址 将 
被 递交 到 数据 链 路 层 ， 用 于 帧 的 组 建 。 使 用 show ip arp 命令 ， 我 们 可 以 得 到 Lab A 路 由 器 
上 的 ARP 缓存 输出 ,结果 如 下 所 示 : 

Lab_A#sh ip arp 


Protocol Address Age(min) Hardware Addr Type Interface 
Internet 172.16.20.1 - 00d0.58ad.05f4 ARPA Ethernetl 
Internet 172.16.20.2 3 0030.9492.a5dd ARPA Ethernetl 
Internet 172.16.10.1 - 00d0.58ad.06aa ARPA Ethernet0 
Internet 172.16.10.2 12 0030.9492.a4ac ARPA Ethernet0 


其 中 ， 横 划 线 ( - ) 表示 这 是 路 由 器 上 的 物理 接口 。 从 上 面 的 输出 中 可 以 看 出 ， 路 由 器 已 
经 获知 172.16.10.2( Host_A ) 和 172.16.20.2 ( Host_B ) 的 硬件 地 址 。 思 科 的 路 由 器 会 将 ARP 
表 中 的 表 项 保留 4 个 小 时 。 
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口 如 果 此 硬件 地 址 没有 被 解析 ， 则 路 由 器 将 从 El 发 出 一 个 ARP 请 求 ， 用 以 查找 172.16.20.2 的 
硬件 地 址 。Host-B 将 用 它 的 硬件 地 址 进行 响应 ， 随 后 此 分 组 和 目的 方 的 硬件 地 址 都 会 被 传递 ， 
给 数据 链 路 层 ， 用 以 组 装 成 帧 。 

(16) 数据 链 路 层 将 使 用 目标 硬件 地 址 和 源 硬件 地 址 、 以 太 网 类 型 字段 及 帧 尾部 的 FCS 字段 创建 
帧 。 随 后 这 个 帧 将 被 递交 到 物理 层 ， 并 由 物理 层 以 逐 比 特 发 送 的 方式 发 送 到 物理 介质 上 。 

(17) Host_B 将 接收 此 帧 ， 并 立即 运行 CRC。 如 果 运 算 的 结果 与 FCS 字段 中 的 内 容 匹 配 ， 则 检查 
帧 中 的 目标 硬件 地 址 。 如 果 主 机 认定 地 址 也 是 匹配 的 ， 则 检查 帧 中 以 太 网 类 型 字段 的 值 ， 判 断 将 分 组 
向 上 递交 的 网 络 层 协 议 一 一 本 示例 中 为 IP。 

(18) 在 网 络 层 ， 卫 会 接收 这 个 分 组 ， 并 对 卫 报头 运 行 CRC。 如 果 校 验 通过 ， 卫 随后 将 检查 分 组 
中 目标 地 址 。 由 于 它们 最 终 是 匹配 的 ， 接 下 来 要 检查 的 就 是 分 组 的 协议 字段 ， 并 据 此 了 解 分 组 有 效 负 
荷 的 交付 对 象 。 

(19) 此 有 效 负荷 将 被 递交 给 ICMP , 后 者 知道 这 是 一 个 回应 请 求 数据 .ICMDP 将 负责 应 答 这 个 请 求 ， 
它 首 先 立 即 丢弃 这 个 接收 到 的 分 组 ， 然 后 产生 一 个 新 的 有 效 负荷 作为 回应 应 答 数 据 。 

(20) 这 样 一 个 包含 有 源 方 地 址 、 目 的 方 地 址 、 协 议 字 段 和 有 效 负 荷 的 一 个 新 分 组 就 被 创建 出 来 了 。 
而 该 分 组 的 目的 方 设 备 就 是 Host_A。 

(21) 在 递交 给 中 后 ， 它 将 对 这 个 目的 方 P 地址 的 位 置 进行 判断 ， 判 断 这 一 地 址 指向 的 是 一 个 本 
地 局 域 网 中 的 设备 ， 还 是 一 个 位 于 远程 网 络 上 的 设备 。 由 于 示例 中 的 目的 方 设 备 位 于 远程 网 络 ， 此 分 
组 将 首先 被 发 送 给 默认 网 关 。 

(22) 默认 网 关 的 全 地址 可 以 在 Windows 主机 的 注册 表 中 找到 。 此 外 ， 为 了 实现 他 地址 到 硬件 地 
址 的 解析 还 需要 查看 ARP 的 缓存 。 

(23) 一 旦 找到 默认 网 关 的 硬件 地 址 ， 则 目的 方 的 硬件 地 址 会 随 分 组 _ 起 被 递交 给 数据 链 路 层 ， 以 
便 完成 帧 的 创建 。 

(24) 数据 链 路 层 会 将 收 到 的 分 组 内 容 封装 起 来 ， 并 在 帧 头 中 包含 下 列 内 容 : 

口 目的 方 硬件 地 址 和 源 方 的 硬件 地 址 ; 

口 值 为 0x0800 (IP ) 的 以 太 网 类 型 字段 ; 

口 值 为 CRC 运算 结果 的 FCS 字段 。 

(25) 之 后 ， 帧 将 向 下 递交 给 物理 层 ， 以 逐 比 特 的 方式 发 送 到 网 络 介质 上 。 

(26) 路 由 器 的 Ethemet 1 接口 将 接收 这 些 比特 位 ， 并 将 它们 重新 组 建 为 帧 。 然 后 进行 CRC 运算 ， 
帧 中 的 FCS 字段 被 用 于 验证 计算 结果 是 否 匹配 。 

(27) 当 CRC 通过 后 ， 路 由 器 将 检查 帧 中 携带 的 硬件 目的 地 址 。 由 于 路 由 器 的 接口 地 址 与 这 一 地 
址 是 匹配 的 ， 于 是 帧 中 封装 的 分 组 将 被 取出 ， 随 后 路 由 器 会 查看 帧 的 以 太 网 类 型 字段 ， 以 确定 应 接收 
此 数据 包 的 网 络 层 协议 。 

(28) 由 于 以 太 网 类 型 字段 中 指定 的 是 IP， 于 是 分 组 被 递交 给 了 网 络 层 的 下 。 下 将 首先 对 其 全 报 
头 运行 CRC， 然 后 检查 帧 中 的 目的 方 他 地 址 。 


完全 的 CRC， 它 只 对 卫 报头 进行 校 验 ， 


沁 并 不 公信 政信 号 天 首 洋 对 办 相 这 生 
注意 。 只 关注 报头 可 能 出 现 的 错误 。 
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由 于 分 组 中 携带 的 IP 目的 方 地 址 与 该 路 由 器 各 个 接口 的 人 P 地 址 不 匹配 ， 于 是 路 由 器 需要 查看 路 
由 选择 表 ， 以 找 出 一 条 通 往 172.16.10.0 网 络 的 路 由 。 如 果 表 中 没有 关于 目的 网 络 的 路 由 ， 则 路 由 器 会 
将 该 分 组 立即 丢弃 。( 这 是 一 个 引发 众多 管理 员 困 惑 的 地 方 ， 当 一 个 ping 操作 失败 时 ， 许 多 人 都 会 认 
为 是 分 组 没有 能 到 达 目 的 方 主机 。 但 是 ， 正 如 这 里 看 到 的 ， 事 情 可 能 并 不 总 是 这 样 。 导 致 示例 讨论 结 
果 的 原因 , 仅仅 是 因为 某 个 远程 路 由 器 缺乏 应 答 分 组 返回 源 方 主机 网 络 的 路 由 , 而 将 分 组 丢弃 。 注 意 ， 
这 个 分 组 是 丢弃 在 返回 源 方 主机 的 过 程 中 ， 而 不 是 前 往 目 的 主机 的 过 程 中 。 ) 


” 有 一 点 需要 简要 说 明 ， 当 (如 果 ) 分 组 是 在 返回 源 主机 的 途中 被 丢弃 ， 由 于 这 

提示 。 ”是 一 个 不 知 原因 的 错误 ， 我 们 通常 看 到 的 会 是 请 求 超时 这 样 的 信息 。 如 果 出 现 的 错 

误 是 由 某 种 已 知 原因 导致 的 ， 比 如 在 前 往 目的 主机 的 途中 ， 某 路 由 器 的 路 由 选择 表 

里 没有 可 用 的 路 由 ， 这 时 得 到 的 信息 将 会 是 目标 主机 不 可 达 一 类 的 信息 。 根 据 这 些 

提示 内 容 ， 我 们 就 可 以 判断 问题 是 发 生 在 前 往 目 的 主机 的 途中 ， 还 是 出 现在 返回 源 
主机 的 过 程 中 。 


(29) 在 这 里 ， 路 由 器 是 知道 如 何 到 达 网 络 172.16.10.0 的 ， 用 于 输出 的 接口 就 是 Ethemet 0， 于 是 
分 组 被 交换 到 接口 Ethernet0 上 。 

(30) 路 由 器 将 检查 ARP 缓存 ， 以 确定 172.16.10.2 的 硬件 地 址 是 否 已 经 被 解析 。 

. (31) 由 于 在 完成 将 分 组 发 送 给 Host_B 的 过 程 中 ，172.16.10.2 的 硬件 地 址 已 经 被 缓存 起 来 ， 因 此 

这 一 硬件 地 址 将 随 分 组 一 起 被 递交 给 数据 链 路 层 。 

(32) 数据 链 路 层 将 使 用 这 个 目的 方 的 硬件 地 址 和 源 方 的 硬件 地 址 以 及 类 型 为 IP 的 以 太 网 类 型 字 
段 完成 帧 的 创建 。 随 后 对 这 个 帧 进行 CRC 运算 ， 并 将 运算 结果 放 和 人 FCS 字段 中 。 

(33) 接 下 来 这 个 帧 将 被 递交 给 物理 层 ， 以 逐 比特 的 方式 发 送 到 本 地 网 络 中 。 

(34) 目标 主机 将 会 接收 这 个 帧 ,然后 运行 CRC， 验 证 目的 方 的 硬件 地 址 ， 并 查看 以 太 网 类 型 字段 
中 的 内 容 ， 以 认定 处 理 这 个 分 组 的 上 层 协议 。 

(35) 人 P 是 指定 的 接收 者 ， 随 后 这 个 分 组 将 被 递交 给 网 络 层 的 全 , 它 将 检查 帧 中 的 协议 字段 ， 以 确 
定 下 一 步 的 操作 。IP 发 现 需 要 将 此 有 效 负荷 交 给 ICMP， 之 后 ICMP 将 确定 此 分 组 是 一 个 ICMP 应 答 
回复 。 

(36) ICMP 通过 向 用 户 界面 发 送 一 个 惊叹 号 (1! ) 表明 已 经 接收 到 一 个 回复 。 随 后 ，ICMP 将 尝试 
继续 发 送 后 续 的 4 个 应 答 请 求 给 目的 方 的 主机 。 | 

这 里 的 36 个 简单 步骤 可 以 帮助 我 们 理解 整个 IP 路 由 选择 过 程 。 这 里 的 关键 性 问题 是 ， 即 使 对 于 
大 型 的 网 络 ， 路 由 选择 的 实现 过 程 也 是 如 此 。 只 是 在 非常 大 的 互联 网 络 中 ,分 组 在 到 达 目 标 主机 之 前 
需要 经 过 更 多 的 路 由 转发 。 

需要 重点 记忆 的 是 ， 当 Host_A 向 Host_B 发 送 分 组 时 ， 所 采用 的 目标 硬件 地 址 是 默认 网 关 的 以 太 
网 接口 地 址 。 之 所 以 会 这 样 , 是 因为 数据 帧 只 在 本 地 网 络 中 有 效 , 它 不 可 以 被 直接 发 送 到 远程 网 络 中 。 
因此 ， 发 往 远 程 网 络 的 分 组 必须 通过 默认 网 关 进 行 转发 。 

下 面 给 出 了 Host_A 上 的 ARP 缓存 中 的 内 容 : 

C:\ >arp -a 

Interface: 172.16.10.2 --- Ox3 
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Internet Address Physical Address Type 
172.16.10.1 00-15-05-06-31-b0- dynamic 
172.16.20.1 00-15-05-06-31-b0 dynamic 


在 上 面 的 内 容 中 , 你 是 否 注意 到 Host A 向 Host B 发 送 数据 时 使 用 的 硬件 ( MAC ) 地 址 是 Lab A 


E0 接 口 的 地 址 ? 注意 , 硬件 地 址 总 是 本 地 有 效 的 , 它们 决 不 可 以 跨 路 由 器 使 用 。 理 解 这 个 处 理 过 程 是 
非常 重要 的 ， 读 者 需要 将 这 一 点 牢记 心中 | 


8.2.1 对 IP 路 由 选择 过 程 理解 的 测试 


由 于 正路 由 选择 这 一 部 分 的 内 容 非 常 重要 , 为 确保 读者 掌握 了 这 一 内 容 , 在 这 个 单元 中 我 们 将 通 
过 几 个 示例 拓扑 图 和 一 些 非常 基本 的 下 路 由 问题 ,来 测试 并 强化 读者 对 这 一 重要 内 容 的 理解 。 


图 8-4 中 给 出 了 一 个 连接 到 RouterA 的 LAN， 而 Router A 又 通过 一 个 WAN 连接 到 RouterB。 同 
时 RouterB 与 某 个 HTTP 服务 器 通过 另 一 个 LAN 连接 在 一 起 。 


RouterA RouterB 
> SO/0 > 
BS 
D SO/0 生 ， 


F a0/0 Fa0/0 


| 
HTTP 服务 器 
图 8-4 JP 路 由 选择 示例 1 


从 这 个 拓扑 结构 图 中 需要 获取 的 重要 内 容 是 , 其 中 的 IP 路 由 选择 是 如 何 实现 的 。 要 得 到 正确 的 管 
案 可 能 需要 耗费 些 时 间 。 这 里 将 给 出 答案 ， 不 过 在 看 了 答案 之 后 请 再 研究 下 这 个 图 ， 然 后 再 在 不 参考 
答案 的 情况 下 ， 看 是 否 能 够 回答 示例 2 中 的 问题 。 

(1) 来 自 HostA 的 数据 帧 ， 其 帆 中 的 目的 地 址 将 是 RouterA 路 由 器 Fa0/0 接口 的 MAC 地 址 。 

(2) 分 组 的 目的 地 址 将 是 HTTP 服务 器 上 的 网 络 接口 卡 (NIC ) 的 中 地 址 。 

(3) 对 于 数据 段 头 部 的 目的 端口 号 ， 其 值 将 是 80。 

这 个 示例 非常 简单 ， 同 时 也 非常 中 肯 。 需 要 注意 的 一 点 是 ， 如 果 有 多 个 主机 同时 使 用 HTTP 与 此 
服务 器 通信 ， 那 么 它们 必须 全 部 使 用 各 不 相同 的 源 端 口号 。 这 是 服务 器 在 传输 层 上 保持 数据 彼此 分 离 
的 方式 。 

下 面 来 增加 一 点 难度 ,在 网 络 中 加 入 另 一 个 网 络 互 连 设备 ， 然 后 请 你 看 一 下 是 否 能 够 自己 给 出 答 
案 。 图 8-5 中 给 出 了 一 个 只 配 有 一 台 路 由 器 ， 但 附加 了 两 台 交 换 机 的 网 络 。 

对 于 这 个 示例 需要 了 解 的 是 ， 当 HostA 发 送 数 据 给 HTTPS 服务 器 时 ， 其 全 路 由 选择 过 程 是 如 何 
进行 的 : 


(1) 来 自 HostA 的 数据 帧 ， 其 帧 中 的 目的 地 址 将 是 RouterA 路 由 器 的 Fa0/0 接口 的 MAC 地 址 。 
(2) 分 组 的 目的 地 址 将 是 HTTPS 服务 器 上 的 网 络 接口 卡 (NIC ) 的 下 地 址 。 


HostA 
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(3) 对 于 数据 段 头 部 的 目的 端口 号 ， 其 值 将 是 443。 


RouterA 


| 
HTTPS 服务 器 


图 8-5 ”IP 路 由 选择 示例 2 


注意 , 交换 机 不 能 用 作 默 认 网 关 或 男 一 个 中 转 目标 站 。 这 是 因为 交换 机 完全 不 参与 路 由 选择 过 程 。 
我 想 知道 你 们 中 有 和 多少 人 会 将 交换 机 的 地 址 作为 HostA 的 默认 网 关 ( 中 转 目标 站 ) 的 MAC 地 址 。 如 
果 你 是 这 样 做 的 ， 不 必 难 过 ， 但 需要 在 头脑 中 重建 正确 的 认识 。 记 住 ， 如 果 要 将 分 组 发 送 到 LAN 以 
外 的 网 络 ， 目 的 方 的 MAC 地 址 将 永远 只 能 是 路 由 器 的 接口 地 址 ， 这 一 点 非常 重要 ， 最 后 这 两 个 示例 
给 出 的 就 是 这 样 的 情形 。 
在 对 了 正路 由 选择 的 内 容 进行 更 进一步 介绍 之 前 , 我 们 需要 对 ICMP 以 及 它 在 互联 网 络 中 的 应 用 进 二 
行 更 详尽 地 讨论 。 来 看 图 8-6 中 的 网 络 。 请 问 ， 当 Lab_C 的 LAN 接口 失灵 时 会 发 生 些 什么 。 


E0 


图 8-6 ”ICMP 出 错 示例 


Lab_C 将 使 用 ICMP 通告 主机 A 一 一 主机 B 不 可 达 ， 路 由 器 通过 发 送 一 个 ICMP 目标 不 可 达 消 息 
完成 这 一 通告 。 这 个 图 形象 地 说 明了 ICMP 数据 是 如 何 通过 IP 的 路 由 选择 返回 源 主机 的 。 
下 面 来 讨论 另 一 个 相关 问题 。 注 意 这 里 给 出 了 公司 路 由 器 中 的 路 由 选择 表 输 出 : 


Corp#sh ip route 

[output cut] 

R 192.168.215.0 [120/2] via 192.168.20.2，00:00:23，Serial10/0 
R 192.168.115.0 [120/1] via 192.168.20.2,00:00:23,，Seria10/0 
R 192.168.30.0 [120/1] via 192.168.20.2, 00:00:23，Serial10/0 
C 192.168.20.0 is directly connected, Serial0/0 

C 192.168.214.0 is directly connected, FastEthernet0/0 
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从 这 个 输出 中 可 以 了 解 些 什 么 ? 假设 该 公司 路 由 器 收 到 一 个 源 瑟 地 址 为 192.168.214.20， 而 目的 
地 址 是 192.168.22.3 的 他 分 组 ， 那 么 该 企业 路 由 器 会 如 何 处 理 这 个 分 组 ? 

如 果 你 的 答案 是 “此 分 组 来 自 FastEthernet 0/0 接口 ， 但 由 于 路 由 选择 表 中 不 存在 一 个 到 达 网 络 
192.168.22.0 ( 或 默认 路 由 ) 的 表 项 , 该 路 由 器 将 丢弃 这 个 分 组 ， 并 从 FastEthernet 0/0 接口 发 送 回 一 个 
ICMP 目标 不 可 达 消 息 ”， 那么 你 就 是 位 天 才 ! 路 由 器 之 所 以 会 这 样 做 ， 其 原因 是 数据 进入 的 位 置 ( 源 
LAN ) 就 是 分 组 产生 并 传输 过 来 的 位 置 。 

下 面 来 看 另 一 个 图 ,我 们 在 此 详细 介绍 数据 帧 和 分 组 。 其 实 ， 这 里 并 没有 涉及 任何 新 内 容 ， 只 是 
想 确 认 你 已 经 完全 、 彻底、 充分 理解 了 IP 路 由 选择 的 基础 内 容 。 之 所 以 要 这 样 , 是 因为 本 书 以 及 与 此 
相关 的 考试 要 点 都 是 与 IP 路 由 选择 紧密 关联 的 ， 也 就 是 说 ， 你 需要 全 面 掌 握 这 些 内 容 ! 接 下 来 的 一 些 
问题 将 围绕 图 8-7 展开 。 


图 8-7 使 用 MAC 地 址 和 亚 地址 的 基本 IP 路 由 选择 


参照 图 8-7， 这 里 给 出 了 一 系列 的 问题 ， 你 需要 将 这 些 问 题 的 答案 牢记 在 心 。 

(1) 为 了 能 与 Sales 服务 器 通信 ， 主 机 4 送出 了 一 个 ARP 请 求 。 此 拓扑 中 的 设备 将 如 何 响应 这 个 
请 求 ? 

(2) 主机 4 已 经 接收 了 一 个 ARP 应 答 。 主 机 4 将 创建 一 个 分 组 , 并 将 这 个 分 组 放 入 数据 帧 中 。 如 果 
主机 4 要 与 Sales 服务 器 通信 ， 在 发 送出 主机 4 的 分 组 报头 中 应 放 人 什么 信息 ? 

(3) 最 后 ， 路 由 器 Lab_A 在 接收 这 个 分 组 后 ， 会 将 数据 从 与 服务 器 所 在 LAN 相连 的 Fa0/0 接口 发 
送出 去 。 在 此 数据 帧 头 部 的 源 地 址 和 目标 地 址 将 会 是 什么 ? 

(4) 主机 4 在 两 个 浏览 器 窗口 中 同时 显示 着 两 个 来 自 Sales 服务 器 的 Web 文档 。 这 些 数据 是 如 何 被 
送 往 正确 的 浏览 器 窗口 的 ? 

这 里 也 许 应 该 使 用 非常 小 的 字体 给 出 下 面 这 些 内 容 ， 并 将 它们 不 按 顺序 地 放置 在 本 书 的 其 他 位 
置 ， 这 样 就 可 以 增加 作弊 和 偷 看 的 难度 ， 偷 看 真 的 会 让 你 失去 通过 考试 的 机 会 。 下 面 就 是 答案 。 

” (D 为 了 能 与 此 服务 器 通信 , 主机 4 送出 了 一 个 ARP 请 求 。 此 拓扑 中 的 设备 将 如 何 响应 这 个 请 求 ? 
由 于 MAC 地 址 只 作用 于 本 地 网 络 , 路 由 器 Lab B 将 用 其 Fa0/0 接口 的 MAC 地 址 响应 这 个 请 求 , 当主 
机 4 要 发 送 分 组 给 Sales 服务 器 时 ， 它 会 将 所 有 数据 帧 发 送 给 Lab_B 的 Fa0/0 接口 的 MAC 地 址 。 

(2) 主机 4 已 经 接收 了 一 个 ARP 应答。 主机 4 将 创建 一 个 分 组 ， 并 将 这 个 分 组 放 人 数据 帧 中 。 如 
果 主 机 4 要 与 Sales 服务 器 通信 ， 在 主机 4 发 送 的 分 组 的 报头 中 应 放 和 人 什么 信息 ? 由 于 这 里 讨论 的 是 
分 组 ， 而 不 是 数据 帧 ， 源 地 址 将 是 主机 4 的 邢 地 址 ， 而 目标 地 址 将 是 Sales 服务 器 的 全 地 址 。 
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(3) 最 后 ， 路 由 器 Lab_A 在 接收 这 个 分 组 后 ， 会 将 数据 从 与 服务 器 所 在 LAN 相连 的 Fa0/0 接口 发 
送出 去 ,在 此 数据 帧 头 部 的 源 地 址 和 目标 地 址 将 会 是 什么 ?此 源 MAC 地 址 将 是 Lab_A 路 由 器 的 Fa0/0 
接口 的 地 址 , 而 目标 MAC 地 址 将 是 Sales 服务 器 的 MAC 地 址 (在 LAN 中 所 有 MAC 地 址 都 是 本 地 有 
效 的 地 址 )。 : 

(4) 主机 4 在 两 个 浏览 器 窗口 中 同时 显示 着 两 个 来 自 Sales 服务 器 的 Web 文 档 。 这 些 数据 是 如 何 被 
送 往 正确 浏览 器 窗口 的 ? TCP 的 端口 号 被 用 来 引导 数据 前 往 正 确 的 应 用 窗口 。 

很 棒 ! 但 是 这 还 远 没有 结束 。 在 开始 对 现实 网 络 进行 路 由 选择 配置 之 前 ,这 里 还 有 一 些 问 题 需要 
你 回答 。 图 8-8 给 出 了 一 个 基本 的 网 络 ， 而 主机 4 需要 收取 电子 邮件 。 在 主机 4 发 出 的 数据 帧 中 ， 目 
的 地 址 字段 中 应 该 放置 哪个 地 址 ? 


电子 邮件 
服务 器 


图 8-8 ”对 基本 路 由 选择 认 知 的 测试 


答案 是 主机 4 将 使 用 的 目标 地 址 是 Lab B 路 由 器 的 Fa0/0 接口 的 MAC 地 址 。 你 已 经 掌握 了 这 些 
内 容 ， 不 是 吗 ? 回 过 头 再 看 图 8-8， 此 时 主机 4 需要 与 主机 1 通信 。 当 分 组 到 达 主 机 1 时 ， 在 分 组 报 
头 中 的 OSI 第 3 层 协议 的 源 地 址 可 能 是 什么 ? 

希望 你 了 解 以 下 内 容 : 在 第 3 层 , 源 全 地 址 就 是 主机 4 的 地 址 , 并 且 分 组 中 的 目标 地 址 就 是 主机 
1 的 下地 址 。 当 然 , 来 自主 机 4 的 目的 方 MAC 地 址 将 一 直 是 Lab_B 路 由 器 的 Fa0/0 接口 地 址 。 这 里 ， 
由 于 有 不 止 一 台 路 由 器 ， 因 此 需要 在 两 个 路 由 器 之 间 使 用 路 由 选择 协议 ， 以 实现 它们 彼此 间 的 信息 交 
换 ， 这样 数据 才能 被 正确 地 转发 到 Host 1 所 在 的 网 络 。 l 

接 下 来 是 最 后 一 个 问题 ， 一 个 可 以 证 明 你 已 经 完全 掌握 IP 路 由 选择 处 理 过 程 的 问题 ! 再 次 回 到 
图 8-8。 主 机 4 正在 向 连接 到 Lab_A 路 由 器 上 的 电子 邮件 服务 器 传输 文件 。 由 主机 4 发 出 的 数据 中 所 
携带 的 第 2 层 目的 方 地 址 应 该 是 什么 ? 是 的 ， 这 样 的 问题 在 这 里 不 止 提 过 一 次 。 但 还 有 另 一 个 问题 ; 
当 数 据 帧 被 电子 邮件 服务 器 接收 时 ， 它 所 携带 的 源 MAC 地 址 将 会 是 什么 ? 

希望 你 能 给 出 的 答案 是 ,由 主机 4 发 出 的 数据 中 携带 的 第 2 层 目 的 方 地 址 将 是 Lab B 路 由 器 Fa0/0 
接口 的 MAC 地 址 ， 而 电子 邮件 服务 器 接收 的 数据 帧 携带 的 源 MAC 地 址 将 是 Lab_A 路 由 器 的 Fa0/0 
接口 地 址 。 

如 果 你 的 答案 与 此 相同 ， 那 么 你 就 具备 了 求索 如 何在 大 型 网 络 中 处 理 人 Pp 路 由 选择 的 能 力 。 


8.2.2 配置 IP 路 由 
下 面 就 来 正式 讨论 并 配置 一 个 真正 的 网 络 ! 图 8-9 中 给 出 了 4 个 路 由 器 ， 即 Corp、R1、R2 和 
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R3。 记 住 ， 默 认 情 况 下 这 些 路 由 器 只 知道 与 它们 直接 相连 的 网 络 。 本 书 余下 的 各 章 将 会 持续 使 用 这 
个 图 。 


192.168.10.0 
192.168.20.0 
192.168.30.0 
192.168.40.0 


图 8-9 配置 卫 路 由 


正如 你 可 能 猜 到 的 , 为 了 保证 后 续 内 容 的 讲述 , 这 里 特别 设计 了 一 个 路 由 器 应 用 环境 。Corp 是 一 
台 配 有 4 个 串 行 接口 并 带 有 一 个 交换 模块 的 2811 路 由 器 ， 而 远程 的 RI1 和 R2 均 为 1841 路 由 器 。 远 程 
的 R3 是 带 有 无 线 接口 卡 的 另 一 台 2811 路 由 器 。( 注意 ， 使 用 更 早期 的 路 由 器 或 使 用 路 由 器 模拟 器 ， 
读者 仍然 可 以 执行 本 书 中 的 大 部 分 命令 。) 

完成 这 个 设计 的 第 一 步 操 作 就 是 为 每 个 路 由 器 的 每 个 接口 正确 配置 下 地址。 表 8-1 给 出 了 用 于 配 
置 这 个 网 络 的 IP 地 址 方案 。 本 章 将 在 介绍 完 对 网 络 的 配置 之 后 ， 再 讨论 如 何 配置 下 路 由 。 表 8-1 中 
的 每 个 网 络 均 有 一 个 24 位 的 子 网 掩 码 ( 255.255.255.0 )， 即 其 网 络 号 使 用 了 第 三 个 八 位 位 组 。 


表 8-1 此 IP 网 络 的 网 络 地 址 分 配 


路 由 器 网 络 地 址 接 口 地 址 
CORP 
Corp 10.1.1.0 Vlanl1 (交换 卡 ) 10.1.1.1 
Corp 10.1.2.0 S0/0/0 10.1.2.1 
Com 10.1.3.0 Ss0/0/1 (DCE ) 10.1.3.1 


Corp 10.1.4.0 S0/1/0 10.1.4.1 
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( 续 ) 

路 由 器 网 络 地 址 接 只 地 址 

Corp 10.1.5.0 FO/0 10.1.5.1 

R1 

R1 10.1.2.0 S0/0/0 (DCE) 10.1.2.2 

Rl 10.1.3.0 SO/0/1 10.1.3.2 

R1 192.168.10.0 F0/0 192.168.10.1 

RI 192.168.20.0 FO 192.168.20.1 

R2 

R2 10.1.4.0 S0/0/0 (DCE) 10.1.4.2 

R2 192.168.30.0 FO0/0 192.168.30.1 

R2 192.168.40.0 FO/1 192.168.40.1 

R3 

R3 10.1.5.0 F0/0 10.1.5.2 

R3 172.16.10.0 Dotl1 1Radio0/0/0 172.16.10.1 


路 由 器 配置 其 实 是 一 个 相当 简单 的 过 程 , 我 们 只 需要 为 接口 添加 了 P 地 址 , 并 在 完成 配置 的 接口 上 
执行 no shutdown 命令 。 这 之 后 的 配置 会 略微 复杂 一 点 ， 不 过 现在 我 们 先 将 这 个 网 络 的 IP 地 址 配置 
做 完 。 

1. 配置 Corp 

对 于 路 由 器 Corp, 我 们 需要 配置 5 个 接口 。 为 了 便于 识别 , 我 们 应 该 为 每 一 个 路 由 器 都 配置 不 同 
的 主机 名 。 在 进行 这 些 配置 时 ， 为 什么 不 一 并 配置 接口 的 描述 、 标 志 区 以 及 路 由 器 密码 呢 ? 养 成 对 每 
个 路 由 器 都 进行 如 此 配置 的 习惯 ， 确 实 是 一 个 非常 好 的 主意 。 

在 正式 配置 之 前 ， 我 首先 在 路 由 器 上 执行 erase startup-config 命令 ， 然 后 重新 启动 ， 这 样 就 
可 以 在 设置 模式 中 开始 配置 操作 。 选 择 “no”， 即 不 进入 设置 模式 ， 而 是 直接 进入 控制 台 的 用 户 名 提 
示 符 下 。 这 里 将 使 用 同一 方式 完成 对 所 有 路 由 器 的 配置 。 

在 配置 Corp 路 由 器 之 前 有 一 个 小 问题 需要 说 明 ， 就 是 对 这 个 交换 卡 的 配置 。 在 交换 机 上 IP 地 址 
是 配置 给 逻辑 接口 的 (而 非 某 个 物理 接口 )， 而 且 这 个 逻辑 接口 默认 被 命名 为 vlan 1。 与 独立 的 交换 机 
不 同 ， 这 个 安装 在 路 由 器 上 的 交换 卡 上 的 接口 在 默认 情况 下 是 被 禁用 的 ， 因 此 我 们 需 启用 在 本 实验 中 
要 使 用 的 端口 。 

下 面 就 是 全 部 操作 : 


--- System Configuration Dialog --- 
Would you like to enter the initial configuration dialog? [yes/no]: n 


Press RETURN to get started! 

Router>en 

Router#config 七 

Enter configuration commands, one per line. End with CNTL/Z. 
Router(config)#hostname Corp 
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Corp(config)#enable secret todd 
Corp(config)#interface vlan 1 
Corp(Cconfig-if)#description Switch Card to Core Network 
Corp(config-if)#ip address 10.1.1.1 255.255.255.0 
Corp(config-if)#no shutdown 
Corp(Cconfig-1if)#int f1/0 
Corp(Cconfig-if)#description Switch Port connection to WWW Server 
Corp(config-if)#no shutdown 
Corp(Cconfig-if)#int f1/1 
Corp(config-if)#description Switch port connection to Email Server 
Corp(config-if)#no shut 
Corp(config-if)#int f1/2 
Corp(config-if)#description Switch port connection to DNS Server 
CorpCconfig-if)#no shut 
CorpCconfig-if)#int s0/0/0 
Corp(config-if)#description lst Connection to R1 
Corp(config-if)#ip address 10.1.2.1 255.255.255.0 
Corp(config-if)#no shut 
Corp(config-if)#int s0/0/1 
Corp(config-if)#description 2nd Connection to R1 
Corp(config-if)#ip address 10.1.3.1 255.255.255.0 
Corp(config-if)#no shut 
CorpCconfig-if)#int s0/1/0 
Corp(Cconfig-if)#description Connection to R2 
Corp(Cconfig-if)#ip address 10.1.4.1 255.255.255.0 
Corp(config-if)#no shut 
Corp(config-if)#int fa0/0 
Corp(config-if)# description Connection to R3 
Corp(Cconfig-if)# ip address 10.1.5.1 255.255.255.0 
Corp(config-if)#no shut 
Corp(config-if)#line con 0 
Corp(config-line)#password console 
Corp(Cconfig-1ine)#1ogin 
Corp(Cconfig-1ine)#1ogging synchronous 
Corp(Cconfig-1ine)#exec-timeout 0 0 
Corp(Cconfig-1ine)#line aux 0 
Corp(config-1ine)#password aux 
Corp(Cconfig-1ine)#1ogin 
CorpCconfig-1ine)#exit 
Corp(Cconfig)#1ine vty 0 ? 

<1-15> Last Line number 

<Cr> 
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Corp(Cconfig)#1ine vty 0 15 
Corp(config-1ine)#password telnet 
Corp(Cconfig-1ine)#1ogin 
Corp(config-1ine)#exit 

CorpCconfig)#no ip domain lookup 
Corp(config)#banner motd # This is my Corp 2811 ISR Router # 
CorpCconfig-if)#^Z | 
Corp#copy running-config startup-config 
Destination filename [startup-config]?[enter] 
Building configuration... 

[OK] 

Corp# 


我 们 可 以 使 用 show ip route 命令 查看 在 思科 路 由 器 上 创建 的 他 路 由 选择 表 。 下 面 给 出 了 运行 
此 命令 的 输出 内 容 : 


Corp#sh ip route 
Codes: C - connected, S$S - static, R - RIP, M - mobile, B - BGP 
D - EIGRP, EX - EIGRP external, 0O - OSPF, IA - OSPF inter area 
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 
El - OSPF external type 1, E2 - OSPF external type 2 
1 - IS-IS, Su - IS-IS summary, L1 - IS-IS level-1, (2 - IS-IS 
level-2, ia - IS-IS inter area, * - candidate default, U - per-user 
static route, 0 - ODR, P - periodic downloaded static route 


Gateway of last resort is not set 


10.0.0.0/24 is subnetted, 1 subnets 
C 10.1.1.0 is directly connected, Vlani 
Corp# 


必须 记 住 ， 在 此 路 由 选择 表 中 只 有 那些 已 经 被 配置 过 且 直 接 相 连 网 络 才 会 被 显示 。 那 么 ,在 此 路 
由 选择 表 中 为 什么 只 会 看 见 Vlanl 接口 ? 不 必 奇 怪 ， 这 是 因为 串 行 接口 具有 在 链接 的 另 一 端正 常 运转 
时 才 进 入 工作 状态 。 因 此 ， 当 对 R1、R2 和 R3 路 由 器 也 完成 了 配置 之 后 ， 所 有 这 些 串 行 接口 才 会 出 
现在 路 由 选择 表 中 。 

你 是 否 注意 到 了 路 由 选择 表 中 左 侧 的 那个 C? C 表明 这 个 网 络 与 路 由 器 直接 相连 。 在 show ip 
route 命令 输出 内 容 的 顶部 会 列 出 每 个 连接 类 型 的 代码 ， 它 的 后 部 就 是 对 这 些 代码 的 具体 描述 。 
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在 本 章 后 续 内 容 中 ， 为 保持 简洁 ， 用 于 说 明代 码 功能 的 部 分 都 将 省 去 。 


2. 配置 R1 : 

现在 对 下 一 个 路 由 器 (了 R1 ) 进行 配置 。 要 正确 地 完成 这 一 配置 ， 需 要 注意 的 是 此 路 由 器 将 有 4 个 
接口 需要 配置 :serial 0/0/0 、serial 0/0/1 、FastEthemet 0/0 和 FastEthemet 0/1。 同 时 ， 需 要 明确 的 是 对 
路 由 器 进行 配置 的 内 容 包 括 路 由 器 的 主机 名 、 密 码 、 接 口 描述 和 标志 区 。 与 配置 路 由 器 Corp 时 一 样 ， 
在 这 里 我 将 删除 原配 置 文件 ， 并 重新 启动 路 由 器 。 

下 面 就 是 我 们 的 配置 : 


R1#erase start 

% Incomplete command . 

Rl#erase startup-config 

Erasing the nvram filesystem will remove all configuration files! 
Continue? [confirm][enter] 

LOK] 

Erase of nvram: complete 

Rl#reload 

Proceed with reload? [confirm] fenter] 

[output cut] 

X%Error opening tftp://255.255.255.255/network-confg (Timed out) 

%Error opening tftp://255.255.255.255/cisconet.cfg (Timed out) 


--- System Configuration Dialog --- 


Would you like to enter the initial configuration dialog? [yes/no]: n 


在 继续 后 续 内 容 之 前 ， 我 们 需要 对 上 面 的 输出 进行 说 明 。 首 先 ， 你 应 该 注意 到 新 版 的 12.4ISR 路 
由 器 不 再 使 用 erase start 命令 。 该 路 由 器 在 erase 命令 后 允许 使 用 的 、 以 * 打头 的 参数 只 有 一 个 ， 
具体 内 容 如 下 所 示 ， 

Router#erase s? 

startup-config 


也 许 对 于 接 下 来 的 操作 ， 你 认为 此 IOS 应 该 会 同样 执行 这 个 reload 命令 ,但 遗憾 的 是 实际 情况 
不 是 这 样 ! 在 这 里 需要 明确 的 第 二 件 事 就 是 , 从 上 面 的 输出 可 以 得 知 , 路 由 器 在 确认 了 reload 时 会 查 
找 TFTP 主机 ， 尝 试 下 载 一 个 配置 文件 。 当 这 一 尝试 失败 时 ， 路 由 器 会 直接 进入 设置 模式 。 这 与 我 们 
在 第 7 章 中 介绍 的 思科 路 由 器 默认 引导 顺序 是 相同 的 。 

下 面 ， 我 们 再 来 配置 路 由 器 : 

Press RETURN to get started! 

Router>en . 

Router#config +t 


8.2 


Router(config)#hostname R1 
Ri(Cconfig)#enable secret todd 
Ri(config)#int s0/0/0 
R1Cconfig-if)#ip address 10.1.2.2 255.255.255.0 
Ri(config-if)#Description 1st Connection to Corp Router 
Ri(config-if)#no shut 
RiCconfig-if)#int s0/0/1 
RiCconfig-if)#ip address 10.1.3.2 255.255.255.0 
R1Cconfig-if)#no shut 
R1Cconfig-if)#description 2nd connection to Corp Router 
R1Cconfig-if)#int f0/0 
R1Cconfig-if)#ip address 192.168.10.1 255.255.255.0 
R1LCconfig-if)#description Connection to Finance PC 
R1Cconfig-if)#no shut 
R1Cconfig-if)#int f0/1 
R1Cconfig-if)#ip address 192.168.20.1 255.255.255.0 
RiCconfig-if)#description Connection to Marketing PC 
Ri(Cconfig-if)#no shut 
Ri(config-if)#1line con 0 
RiCconfig-line)#password console 
R1Cconfig-1ine)#1ogin 
R1LCconfig-1line)#1ogging synchronous 
R1LCconfig-1ine)#exec-timeout 0 0 
R1Cconfig-1ine)#1ine aux 0 
R1Cconfig-1ine)#password aux 
R1Cconfig-1ine)#1ogin 
Rli(config-1ine)#exit 
RiCconfig)#1line vty 0 ? 

<1-807> Last Line number 

<cr> 
RiCconfig)#1ine vty 0 807 
Ri(config-line)#password telnet 
R1Cconfig-1ine)#1ogin 
R1Cconfig-1ine)#banner motd # This is my Rl1 Router # 
RiCconfig)#no ip domain-lookup 
RiCconfig)#exit 
Ri#copy run start : 
Destination filename [startup-config]?[enter] 
Building configuration... 
[OK] 
R1# 
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下 面 查看 一 下 这 些 接口 上 的 配置 : 


R1#sh run | begin interface 
interface FastEthernet0/0 
description Connection to Finance PC 


ip address 192.168.10.1 255.255.255.0 
duplex auto 
speed auto 
! 
interface FastEthernet0/1 
description Connection to Marketing PC 
ip address 192.168.20.1 255.255.255.0 
duplex auto 
speed auto 
! 
interface Serial0/0/0 
description lst Connection to Corp Router 
ip address 10.1.2.2 255.255.255.0 
! 
interface Serial0/0/1 
description 2nd connection to Corp Router 
ip address 10.1.3.2 255.255.255.0 
! 
show ip route 命令 的 输出 如 下 : 


R1#show ip route 
10.0.0.0/24 is subnetted, 4 subnets 


C 10.1.3.0 is directly connected, Serial0/0/1 

C 10.1.2.0 is directly connected, Serial0/0/0 

C 192.168.20.0 is directly connected, FastEthernet0/1 
C 192.168.10.0 is directly connected, FastEthernet0/0 
R1# 


注意 ， 路 由 器 R1 知道 如 何 到 达 网 络 10.1.3.0、10.1.2.0、192.168.20.0 和 192.168.10.0。 现在 , 我 们 
可 以 在 Rl1 上 完成 对 路 由 器 Corp 的 ping 操作 : 


Ri#Ping 10.1.2.1 


Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds: 
Success rate is 100 percent (5/5), round-trip min/avg/max = 1)2/4 ms 
R1# 
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现在 回 到 Corp 路 由 器 上 ， 再 查看 一 下 其 路 由 选择 表 中 的 内 容 : 
Corp#sh ip route 
[output cut] 

10.0.0.0/24 is subnetted, 4 subnets 


C 10.1.3.0 is directly connected, Serial0/0/1 
C 10.1.2.0 is directly connected, Serial0/0/0 
C 10.1.1.0 is directly connected, Vlanl 
Corp# 


路 由 器 R1 的 串 行 接口 0/0/0 和 0/0/1 使 用 DCE 连接 ， 即 需要 在 此 类 接口 上 使 用 clock rate 配置 
命令 。 注 意 ， 在 实际 的 应 用 中 ， 这 个 clock rate 命令 并 不 是 一 定 要 使 用 的 。 即 使 不 使 用 这 个 命令 也 
不 会 造成 什么 问题 , 但 是 在 备考 CCNA 时 , 对 在 什么 时 候 需 要 使 用 以 及 以 什么 方式 使 用 这 一 命令 等 方 
面 的 内 容 ， 读 者 必须 有 一 个 清晰 而 正确 的 认识 。 

我 们 可 以 使 用 show controllers 命令 查看 正在 使 用 的 时 钟 频率 : 


R1#sh controllers s0/0/1 
Interface Serial0/0/1 
Hardware is GT96K 

DCE V.35，clock rate 2000000 


在 配置 其 他 远程 路 由 器 之 前 ， 最 后 一 个 需要 说 明 的 事情 是 ， 你 是 否 注意 到 ，R1 路 由 器 串 行 接口 
上 的 时 钟 频率 为 2 000 000? 这 一 点 很 重要 ， 因 为 在 对 R1 路 由 器 的 配置 过 程 进行 回顾 时 ， 不 难 发 现 我 
们 并 没有 对 这 个 时 钟 频率 进行 过 设置 。 注 意 , 不 进行 设置 的 原因 就 是 ISR 路 由 器 可 以 自动 检测 电缆 的 
DCE 类 型 ， 并 且 可 以 自动 完成 对 这 一 时 钟 频率 的 配置 ， 一 个 多 么 贴心 的 功能 ! 

由 于 对 这 些 串 行 链接 进行 了 配置 ， 在 此 Corp 的 路 由 选择 表 中 我 们 能 够 看 到 3 个 网 络 。 随 后 ， 当 
完成 了 对 R2 和 R3 的 配置 之 后 ， Corp 路 由 器 的 路 由 选择 表 中 将 再 出 现 两 个 网 络 。 目 前 由 于 还 没有 对 
192.168.10.0 和 192.168.20.0 网 络 进行 任何 路 由 配置 ， 因 此 Corp 路 由 器 还 不 能 获悉 这 些 网 络 。 注 意 ， 
路 由 器 默认 只 能 看 到 与 它们 直接 相连 的 网 络 。 

3. 配置 R2 

配置 R2, 我 们 需要 重复 配置 前 两 个 路 由 器 时 的 大 部 分 工作 。 在 这 里 有 3 个 接口 需要 配置 , 即 serial 
0/0/0、FastEthernet 0/0 和 FastEthernet 0/1。 同 样 ， 在 此 路 由 器 的 配置 中 还 需要 添加 的 内 容 有 主机 名 、 
密码 、 接 口 描述 和 标志 区 : 


Router>en 

Router#conf1g 七 

Router(Cconfig)#hostname R2 

R2(config)#enable secret todd 

R2Cconfig)#int s0/0/0 

R2(Cconfig-if)#ip address 10.1.4.2 255.255.255.0 
R2Cconfig-if)#description Connection to Corp Router 
R2Cconfig-if)#no shut 

R2Cconfig-if)#int f0/0 
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R2(config-if)#ip address 192.168.30.1 255.255.255.0 
R2(Cconfig-if)#description Connection to Sales PC 
R2(Cconfig-if)#no shut : 
R2Cconfig-if)#int f0/1 
R2Cconfig-if)#ip address 192.168.40.1 255.255.255.0 
R2(Cconfig-if)#description Connection to HR PC 
R2(config-if)#no shut 
R2Cconfig-if)#1line con 0 
R2(config-1ine)#password console 
R2(config-line)#login 
R2Cconfig-l1ine)#1logging Sync 
R2Cconfig-1ine)#exec-timeout 0 0 
R2(Cconfig-1iine)#1ine aux 0 
R2Cconfig-]ine)#password aux 
R2Cconfig-1ine)#1ogin 
R2Cconfig-1ine)#exit 
R2Cconfig)#1ine vty 0 ? 
<1-807> Last Line number 
<cr> 
R2Cconfig)#1line vty 0 807 
R2(Cconfig-1ine)#password telnet 
R2(Cconfig-1ine)#1ogin 
R2(config-line)#exit 
R2Cconfig)#banner motd # This is my R2 Router # 
R2Cconfig)#no ip domain-1lookup 
R2(Cconfig)#^Z 
R2#copy run start 
Destination filename [startup-config]?[enter] 
Building configuration... 
[OK] 
R2# 
很 好 ， 这 里 所 有 的 配置 操作 都 相当 简单 。 正 如 下 面 show ip route 命令 的 输出 结果 所 示 ， 直 接 
相连 的 网 络 包括 192.168.30.0、192.168.40.0 和 10.1.4.0: 
R2#sh ip route 
10.0.0.0/24 is subnetted，3 subnets 


< 192.168.30.0 is directly connected, FastEthernet0/0 
CC 192.168.40.0 is directly connected, FastEthernet0/1 
C 10.1.4.0 is directily connected, Serial0/0/0 

R2# 


目前 ，Corp、R1 和 R2 路 由 器 之 间 所 有 的 直接 链接 都 处 于 工作 状态 。 接 下 来 我 们 需要 完成 对 R3 
路 由 器 的 配置 。 
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4. 配置 R3 

配置 R3， 我 们 仍 需 要 重复 对 其 他 路 由 器 进行 配置 时 所 做 的 大 部 分 工作 。 然 而 ， 这 里 只 有 两 个 接 
口 需要 配置 , 即 FastEthemet 0/0 和 Dotl1Radio0/0/0。 同样 , 我 们 需要 在 此 路 由 器 的 配置 中 加 入 主机 名 、 
密码 、 接 口 描述 和 标志 区 : 

Router>en 

Router#config t 

Router(config)#hostname R3 

R3(config)#enable secret todd 

R3Cconfig)#int f0/0 

R3Cconfig-if)#ip address 10.1.5.2 255.255.255.0 

R3(Cconfig-if)#description Connection to Corp Router 

R3Cconfig-if)#no shut 

R3Cconfig-if)#int dotllradio0/0/0 

R3Cconfig-if)#ip address 172.16.10.1 255.255.255.0 

R3Cconfig-if)#description WLAN for Mobile User 

R3Cconfig-if)#no shut 

R3Cconfig-if)#ssid ADMIN 

R3Cconfig-if-ssid)#guest-mode 

R3(config-if-ssid)#authentication open 

R3(config-it-ssid)#infrastructure-ssid 

R3Cconfig-if-ssid)#exit 

R3Cconfig-line)#iine con 0 

R3Cconfig-1ine)#password console 

R3(config-line)#1login 

R3Cconfig-1ine)#1ogging Sync 

R3Cconfig-l1ine)#exec-timeout 0 0 

R3(Cconfig-line)#]line aux 0 

R3Cconfig-1line)#password aux 

R3Cconfig-1ine)#1o0gin 

R3(Cconfig-1ine)#exit 

R3(Cconfig)#line vty 0 ? 

<1-807> Last Line number 
<Cr> 

R3(Cconfig)#1ine vty 0 807 

R3Cconfig-1ine)#password telnet 

R3Cconfig-]ine)#1ogin 

R3CCconfig-1ine)#exiit 

R3(config)#banner motd # This is my R3 Routenr # 

R3Cconfig)#no ip domain-lookup 

R3Cconfig)#^Z 

R3#copy run start 一 - 
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Destination filename [startup-config]?[enter] 
Building configuration, . . 

[OK] 

只 3## 


很 好 ， 除 了 对 无 线 接口 的 配置 外 ， 所 有 配置 操作 依然 相当 简单 。 其 实 ， 无 线 接口 也 只 是 路 由 器 上 
的 另 一 种 接口 ， 在 路 由 选择 表 中 它 与 其 他 接口 看 上 去 是 一 样 的 。 但 是 ， 为 了 启用 这 个 无 线 接口 ， 需 要 
比 针对 一 般 的 快速 以 太 网 接口 执行 更 多 的 配置 操作 。 仔 细 阅 读 下 面 的 输出 内 容 ， 对 此 无 线 接口 进行 的 
特殊 配置 将 随后 介绍 : 


R3Cconfig-if)#int dotllradio0/0/0 
R3(Cconfig-if)#ip address 172.16.10.1 255.255.255.0 
R3Cconfig-if)# description WLAN for Mobile User 
R3Cconfig-if)#no shut 

R3Cconfig-if)#ssid ADMIN 
R3Cconfig-if-ssid)#guest-mode 
R3Cconfjig-if-ssid)#authentication open 
R3Cconfig-if-ssid)#infrastructure-ssid 


由 上 面 的 输出 可 以 看 出 ， 在 对 SSID 进行 配置 之 前 ， 所 有 的 配置 都 是 很 平常 的 。SSID 是 指 服务 集 
标识 ， 用 来 创建 可 以 连接 主机 的 无 线 网 络 。 与 接 人 点 不 同 ， 路 由 器 R3 上 的 这 个 无 线 接口 是 一 个 真正 
可 以 路 由 的 接口 , 这 也 就 是 可 以 在 此 物理 接口 上 配置 IP 地 址 的 原因 。 通常， 如 果 这 只 是 个 接 人 点 而 非 
路 由 器 ， 这 个 IP 地 址 应 该 是 配置 给 可 逻辑 管理 的 网 桥 组 虚拟 接口 (BVI) 上 。 

命令 guest-mode 要 求 这 一 接口 将 此 SSID 广播 出 去 ， 这样 使 用 无 线 网 络 的 主机 才 会 知道 可 以 连 
接 这 个 接口 。 命 令 Authentication open 表明 没有 使 用 认证 。( 注意 ， 即 使 是 在 保证 无 线 接口 可 以 使 
用 的 最 简单 配置 中 , 这 个 命令 仍然 是 需要 输入 的 。) 最 后 , 这 个 infrastructure-ssid 命令 表明 这 个 
接口 可 以 用 于 将 其 他 接 入 点 或 在 此 无 线 网 络 中 的 其 他 设备 连接 到 当前 的 有 线 网 络 中 。 

5. 在 路 由 器 上 配置 DHCP 

注意 ， 这 里 还 有 一 项 没有 完成 的 工作 ， 就 是 要 为 连接 到 Dotl1Radio0/0/0 接口 的 无 线 客 户 端 配置 
DHCP 池 ， 这 个 操作 是 这 样 的 : 


R3#config t 

R3Cconfig)#ip dhcp pool Admin 
R3(dhcp-config)#network 172.16.10.0 255.255.255.0 
R3(dhcp-config)#default-router 172.16.10.1 


R3(Cdhcp-config)#dns-server 172 16 10.2 
R3Cdhcp-config)#exit 


R3Cconfig)#ip dhcp excluded-address 172.16.10.1 172.16.10.10 
R3Cconfig)# 


在 路 由 器 上 创建 DHCP 池 实 际 上 是 一 个 相当 简单 的 过 程 , 并且 如 果 要 为 其 他 路 由 器 添加 DHCP 池 
也 只 需要 进行 同样 的 配置 。 要 在 某 个 路 由 器 上 创建 DHCP 服务 器 ,我 们 只 需要 创建 池 的 名 字 、 并 添加 
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网 络 / 子 网 和 默认 网 关 ， 并 且 指 明 需 要 排除 的 、 不 想 指派 的 地 址 ( 如 默认 网 关 地 址 )， 此 外 ， 在 大 多 数 
情况 下 还 需要 添加 DNS 服务 器 。 不 要 忘记 添加 那些 被 排除 的 地 址 ， 即 那些 不 希望 DHCP 服务 器 以 合 
法 主机 IP 分 配 出 去 的 地 址 。 这 些 被 排除 的 地 址 需要 在 全 局 配置 模式 中 进行 配置 ， 而 不 是 在 HDCP 池 
中 配置 。 此 外 还 要 注意 的 是 ,我 们 可 以 在 一 行 中 排除 一 个 地 址 范围 内 的 所 有 地 址 ， 一 个 很 方便 实用 的 
设计 。 在 上 面 的 示例 中 ,我 将 172.16.10.1 一 172.16.10.10 的 地 址 从 DHCP 服务 器 向 DHCP 客户 机 分 配 
的 合法 地 址 中 排除 了 。 我 们 可 以 使 用 show ip dhcp binding 命令 查验 此 DHCP 池 : 


R3#sh ip dhcp binding 


IP address Client-ID/ Lease expiration Type 

Hardware address - 
172.16.10.11 0001.96AB.8538 -- Automatic 
R3# 


当然 ， 我 们 也 可 以 使 用 ipconfig 命令 查验 客户 端 : 


PC>ipconfig /all 


Physical Address,...............: 0001.96AB.8538 
IP Address..............-........: 172.16.10.11 
Subnet Mask.......-.............,: 255.255.255.0 
Default Gateway-........-...-...: 172.16.10.1 
DNS Servers...........-.-........: 172.16.10.2 


至 此 ， 我 们 完成 了 一 个 基本 的 _WLAN 配置 ， 移 动用 户 现在 就 可 以 连接 这 个 无 线 网 络 ， 但 这 一 用 
户 目前 还 不 能 访问 此 互联 网 络 的 其 他 部 分 。 下 面 我 们 就 来 解决 这 个 问题 。 


无 线 网 络 的 相关 内 容 将 在 第 14 章 详细 介绍 。 


8.3 在 网 络 上 配置 IP 路 由 


在 完成 了 上 述 配置 后 ， 这 个 网 络 应 该 就 可 以 工作 了 , 对 吗 ? 注意 , 这 个 网 络 已 经 被 正确 配置 了 IP 
地 址 、 管 理 功 能 ， 甚 至 是 时 钟 频 率 (在 ISR 路 由 器 上 这 是 自动 配置 的 )。 但 是 ， 当 路 由 器 只 能 通过 查 
看 路 由 选择 表 确 定 通 往 远 程 网 络 的 路 径 时 ， 路 由 器 会 如 何 将 分 组 发 送 到 远程 网 络 ? 上 面 完成 的 配置 只 
是 在 路 由 器 的 路 由 选择 表 中 加 入 了 关于 直接 相连 网 络 的 信息 。 在 这 种 情况 下 ， 当 某 个 路 由 器 收 到 一 个 
需要 发 往 未 列 在 路 由 选择 表 中 的 网 络 的 分 组 时 , 它 会 如 何 处 理 ? 这 时 的 路 由 器 是 不 会 发 送 一 个 广播 来 
查找 远程 网 络 位 置 的 ， 它 只 会 将 这 个 分 组 丢弃 ! 

因此 ， 完 成 上 述 配 置 并 不 能 让 网 络 真正 正常 运转 起 来 。 但 是 ， 也 不 必 为 此 担心 ， 要 将 这 个 小 型 
互联 网 络 中 所 有 的 网 络 都 加 入 到 路 由 选择 表 中 并 不 难 ， 下 面 将 介绍 几 种 不 同 的 配置 方式 ， 从 而 让 所 
有 的 分 组 都 可 以 被 正确 转发 。 这 里 需要 明确 的 是 ， 某 一 网 络 的 最 佳 配置 未 必 也 能 成 为 另 一 网 络 的 最 
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佳 配置 。 真 正 理解 路 由 选择 方式 间 的 不 同 ， 确 实 有 助 于 读者 针对 特定 应 用 环境 和 商业 需求 提出 最 佳 
配置 解决 方案 。 

在 后 续 单元 中 ， 我 们 将 讨论 下 列 几 种 路 由 选择 : 

口 静态 路 由 选择 ; 

口 默认 路 由 选择 ; 

口 动态 路 由 选择 。 

这 里 将 首先 介绍 静态 路 由 选择 ， 并 描述 其 在 网 络 上 的 实现 方式 ， 如 果 可 以 在 网 络 上 完成 静态 路 由 
选择 的 配置 ， 并 保证 网 络 可 以 正常 地 工作 ， 那 么 对 于 互联 网 络 你 就 有 了 一 个 全 方位 的 认识 。 好 ， 我 们 
这 就 开始 。 


8.3.1 静态 路 由 选择 


以 手工 方式 为 每 台 路 由 器 的 路 由 选择 表 添加 路 由 ， 这 一 方式 就 是 静态 路 由 选择 。 与 所 有 路 由 选择 
方式 一 样 ， 静 态 路 由 选择 也 是 优 缺 点 并 存 的 。 

静态 路 由 选择 的 优点 如 下 : 

口 不 增加 路 由 器 CPU 的 开销 ， 也 就 是 说 使 用 静态 路 由 选择 可 以 比 使 用 动态 路 由 选择 选 购 更 便宜 
的 路 由 器 ; 

口 不 增加 路 由 器 间 的 带宽 占用 ， 也 就 是 说 在 WAN 链接 的 使 用 中 可 以 节省 更 多 的 费用 ; 

口 提高 了 安全 性 ， 因 为 管理 员 可 以 有 选择 地 配置 路 由 ， 使 之 只 通过 某 些 特定 的 网 络 ; 

静态 路 由 选择 的 缺点 如 下 : 

口 管理 员 必 须 真正 地 了 和 解 整个 互联 网 络 以 及 每 台 路 由 器 间 的 连接 方式 ， 以 便 实现 对 这 些 路 由 的 
正确 配置 ， 

口 当 添 加 某 个 网 络 到 互联 网 络 中 时 , 管理 员 必 须 在 所 有 路 由 器 上 (手工 地 ) 添加 到 此 网 络 的 路 由 ; 

口 对 于 大 型 网 络 使 用 静态 路 由 选择 基本 上 是 不 可 行 的 ， 因 为 配置 静态 路 由 选择 会 产生 巨大 的 工 
作 量 。 

好 ， 下 面 给 出 将 静态 路 由 添加 到 路 由 选择 表 中 的 命令 语法 : 


ip route [destination_network] [mask] [next-hop_address or 
exitinterface] [administrative_distance] [permanent] 


下 面 给 出 了 对 此 命令 语法 中 各 部 分 的 描述 。 

QQ ip route 用 于 创建 静态 路 由 的 命令 。 

口 destination_network 要 放置 到 路 由 选择 表 中 的 网 络 号 。 

口 mask 在 此 网 络 上 使 用 的 子 网 掩 码 。 

口 next-hop_address 下 一 跳 路 由 器 的 地 址 ， 即 用 于 接收 分 组 并 将 分 组 转发 到 远程 网 络 的 下 一 
个 路 由 器 的 地 址 。 这 是 下 一 跳 路 由 器 上 与 本 路 由 器 直接 相连 的 接口 的 全 地址 。 在 成 功 添加 此 路 
由 之 前 ,你 必须 能 够 ping 这 个 路 由 器 的 接口 。 如 果 输 入 了 错误 的 下 一 跳 地 址 , 或 者 这 个 路 由 器 
其 接口 停止 运行 , 那么 这 个 静态 路 由 将 只 出 现在 路 由 器 的 配置 中 , 而 不 会 出 现在 路 由 选择 表 中 。 

口 exitinterface 如 果 需 要 可 以 用 来 设置 下 一 跳 地 址 ， 这 样 可 以 使 设置 的 下 一 跳 看 上 去 就 像 
是 一 个 直接 连接 的 路 由 。 
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口 administrative_distance 默认 情况 下 ， 静 态 路 由 的 管理 距离 为 1 (甚至 可 以 是 0， 前 提 
是 使 用 输出 接口 〈exit interface ) 替代 下 一 跳 地 址 )。 我 们 可 以 通过 在 这 个 命令 的 尾部 添加 一 
个 管理 权重 来 修改 这 个 默认 值 。 对 于 这 个 内 容 ， 我 们 将 在 本 章 后 面 有 关 动 态 路 由 的 单元 中 进 
行 更 多 讨论 。 

口 permanent 如果 接 口 被 关闭 或 者 路 由 器 不 能 与 下 一 跳 路 由 器 通信 ， 默 认 情 况 下 这 一 路 由 将 
会 被 从 路 由 选择 表 中 自动 删除 。 选 择 permanent 选项 , 将 导致 在 任意 情况 下 都 保留 这 一 路 由 
选择 表 项 在 路 由 选择 表 中 。 

在 对 静态 路 由 的 配置 展开 深入 讨论 之 前 ， 先 来 看 一 个 配置 静态 路 由 的 示例 ， 同 时 看 一 下 可 以 从 中 

得 到 些 什么 结论 。 

Router(config)#ip route 172.16.3.0 255.255.255.0 192.168.2.4 

口 命令 ip route 简单 地 表明 这 是 一 个 静态 路 由 。 

口 172.16.3.0 就 是 那个 需要 将 分 组 发 送 到 的 远程 网 络 。 

口 255.255.255.0 是 这 个 远程 网 络 的 子 网 掩 码 。 

口 192.168.2.4 就 是 下 一 跳 地 址 ， 或 下 一 跳 路 由 器 ， 即 将 分 组 向 下 传递 的 下 一 个 位 置 。 

然而 ， 如 果 这 个 静态 路 由 如 下 所 示 : 

Router(config)#ip route 172.16.3.0 255.255.255.0 192.168.2.4 150 

这 个 尾部 上 的 150 会 将 默认 的 AD (Administrative Distance， 管 理 距离 ) 由 1 改 为 150。 别 担心 ， 

在 动态 路 由 选择 的 讨论 中 ,会 有 关于 AD 内 容 的 更 为 详尽 的 介绍 。 在 这 里 ， 你 只 需要 记 住 AD 就 是 关 
于 路 由 的 可 信任 度 ， 其 中 值 为 0 最 好 ， 而 值 为 255 最 差 。 

再 来 看 一 个 示例 ， 然 后 我 们 将 正式 介绍 配置 过 程 : 

Router(config)#ip route 172.16.3.0 255.255.255.0 s0/0/0 

若 使 用 一 个 输出 接口 代替 下 一 跳 地 址 ， 这 个 路 由 看 上 去 将 像 是 一 个 直接 连接 的 网 络 。 在 功能 上 ， 

这 个 下 一 跳 和 输出 接口 其 使 用 结果 是 完全 一 样 的 。 
为 了 帮助 大 家 理解 静态 路 由 的 工作 方式 ， 这 里 将 对 前 面 图 8-9 中 所 示 互 联网 络 的 配置 过 程 进行 说 
明 。 为 了 节省 翻 回 多 页 查看 图 8-9 的 时 间 ， 这 里 在 图 8-10 中 给 出 与 前 图 完全 一 样 的 内 容 。 


1. Corp 

每 个 路 由 选择 表 都 自动 包含 直接 连接 的 网 络 。 要 在 互联 网 络 中 能 够 对 所 有 的 网 络 进行 路 由 操作 ， 
路 由 选择 表 中 必须 包含 描述 其 他 网 络 位 于 哪里 以 及 如 何 到 达 那 里 的 信息 。 

路 由 器 Corp 连接 到 5 个 网 络 上 。 为 了 使 Corp 路 由 器 可 以 路 由 到 所 有 的 网 络 ， 下 列 网 络 必须 配置 
到 它 的 路 由 选择 表 中 : 

口 192.168.10.0 

口 192.168.20.0 

口 192.168.30.0 

口 192.168.40.0 

口 172.16.10.0 


下 面 给 出 的 路 由 器 输出 显示 了 在 Corp 路 由 器 上 的 静态 路 由 以 及 完成 配置 后 路 由 选择 表 中 的 内 容 。 
为 了 让 Corp 路 由 器 能 够 发 现 远 程 网 络 ， 我 们 必须 在 路 由 选择 表 中 放 人 相应 的 表 项 ， 这 个 表 项 用 于 描 
述 远程 网 络 、 远 程 网 络 的 掩 码 以 及 要 将 分 组 转发 到 的 位 置 。 这 里 在 每 一 行 命令 的 结尾 处 都 添加 了 一 个 
“150”， 来 增加 上 默认 路 由 的 管理 距离 。( 当 讨论 动态 路 由 选择 时 ， 你 就 会 清楚 这 里 这 样 做 的 原因 。) 
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Corp(Cconfig)#ip route 192.168.10.0 255.255.255.0 10.1.2.2 150 
Corp(Cconfig)#ip route 192.168.20.0 255.255.255.0 10.1.3.2 150 
Corp(config)#ip route 192.168.30.0 255.255.255.0 10.1.4.2 150 
Corp(config)#ip route 192.168.40.0 255.255.255.0 10.1.4.2 150 
Corp(Cconfig)#ip route 172.16.10.0 255.255.255.0 10.1.5.2 150 
Corp(Cconfig)#do show run | begin ip route 

ip route 192.168.10.0 255.255.255.0 10.1.2.2 150 

ip route 192.168.20.0 255.255.255.0 10.1.3.2 150 

ip route 192.168.30.0 255.255.255.0 10.1.4.2 150 

ip route 192.168.40.0 255.255.255.0 10.1.4.2 150 

ip route 172.16.10.0 255.255.255.0 10.1.5.2 150 


对 于 网 络 192.168.10.0 和 192.168.20.0, 尽管 可 以 使 用 同一 个 , 但 我 还 是 为 每 个 网 络 使 用 了 不 同 的 
路 径 。 在 完成 了 对 路 由 器 的 配置 后 ， 我 们 可 以 通过 输入 show ip route 查看 静态 路 由 的 配置 : 


Corp(Cconfig)#do show ip route 

10.0.0.0/24 is subnetted，5 subnets 

C 10.1.1.0 is directly connected, Vlanl 

C 10.1.2.0 is directly connected, Serial0/0/0 
EC 10.1.3.0 is directly connected, Serial0/0/1 
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C 10.1.4.0 js directly connected, Serial0/1/0 
C 10.1.5.0 is directly connected, FastEthernet0/0 
172.16.0.0/24 is subnetted, 1 subnets 

S 172.16.10.0 [150/0] via 10.1.5.2 
S 192.168.10.0/24 [150/0] via 10.1.2.2 
S 192 .168.20.0/24 [150/0] via 10.1.3.2 
S 192.168.30.0/24 [150/0] via 10.1.4.2 
192.168.40.0/24 [150/0] via 10.1.4.2 

路 由 器 Corp 上 的 路 由 已 经 配置 完成 ， 目 前 它 已 经 了 解 了 到 达 所 有 网 络 的 全 部 路 由 o 

读者 需要 了 人 解 的 是 , 一 个 路 由 是 否 会 出 现在 路 由 选择 表 中 ， 取决 于 路 由 器 是 否 能 与 配置 的 下 一 跳 
地 址 通信 。 我 们 可 以 使 用 permanent 参数 来 保证 某 个 路 由 在 路 由 选择 表 中 的 存在 ， 而 不 管 下 一 跳 设 
备 是 否 能 被 联系 上 。 

在 上 面 路 由 选择 表 项 中 的 5S， 表明 此 路 由 为 静态 路 由 。[150/0] 是 指 管理 距离 和 到 达 远 程 网 络 的 
度量 值 (我 们 将 在 稍 后 介绍 这 个 概念 )。 

这 样 ， 在 完成 这 些 配 置 之 后 ， 路 由 器 Corp 就 已 经 得 到 了 与 其 他 远程 网 络 通信 和 所 需要 的 全 部 信息 。 
但 是 ， 还 要 记 住 的 是 ， 如 果 没 有 为 路 由 器 R1、R2 和 R3 配置 这 些 相同 的 信息 ， 则 网 络 中 的 某 些 分 组 
会 被 简单 地 丢弃 。 通 过 为 这 些 路 由 器 配置 静态 路 由 ， 我 们 就 可 以 解决 这 一 问题 。 


Un 


不 要 因 这 里 静态 路 由 配置 结尾 处 的 150 感到 困惑 。 本 章 的 后 续 部 分 很 快 就 会 讨 
注意 ” 论 这 一 内 容 ， 不 会 拖 到 下 一 章 ! 请 相信 我 ， 你 的 确 不 必 为 此 感到 不 安 。 


2. R1 

路 由 器 R1 与 网 络 10.1.2.0、10.1.3.0、192.68.10.0 和 192.168.20.0 直接 相连 ， 因 此 只 需要 在 路 由 器 
R1 上 配置 如 下 静态 路 由 : 

口 10.1.1.0 

DD 10.1.4.0 

口 10.1.5.0 

口 192.168.30.0 

口 192.168.40.0 

口 172.16.10.0 

下 面 就 是 对 R1 路 由 器 进行 的 配置 。 记 住 ， 不 要 为 任何 直接 连接 的 网 络 创建 静态 路 由 ， 此 外 ， 由 
于 Corp 和 R1 路 由 器 之 间 存 在 两 条 链 路 ， 因 此 我 们 使 用 的 下 一 跳 地 址 可 以 在 10.1.2.1 或 10.1.3.1 中 选 
择 。 后面 的 配置 中 将 会 在 这 两 个 下 一 跳 配置 之 间 不 断 地 变换 , 以 便 让 所 有 数据 不 总 是 沿 一 条 链 路 传输 ， 
而 在 这 里 具体 使 用 哪 条 链 路 并 不 重要 。 下 面 来 看 一 下 具体 的 配置 : 

Ri(config)#ip route 10.1.1.0 255.255.255.0 10.1.2.1 150 

R1Cconfig)#ip route 10.1.4.0 255.255.255.0 10.1.3.1 150 

RliCconfig)#ip route 10.1.5.0 255.255.255.0 10.1.2.1 150 

R1ICconfig)#ip route 192.168.30.0 255.255.255.0 10.1.3.1 150 

RliCconfig)#ip route 192.168.40.0 255.255.255.0 10.1.2.1 150 

Rli(Cconfig)#ip route 172.16.10.0 255.255.255.0 10.1.3.1 150 
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RiCconfig)#do show run | begin ip route 

ip route 10.1.1.0 255.255.255.0 10.1.2.1 150 

ip route 10.1.4.0 255.255.255.0 10.1.3.1 150 

ip route 10.1.5.0 255.255.255.0 10.1.2.1 150 

ip route 192.168.30.0 255.255.255.0 10.1.3.1 150 
ip route 192.168.40.0 255.255.255.0 10.1.2.1 150 
ip route 172.16.10.0 255.255.255.0 10.1.3.1 150 


通过 查看 这 个 路 由 选择 表 ， 我 们 可 以 看 出 R1 路 由 器 现在 已 经 知道 如 何 找到 每 个 网 络 : 


R1Cconfig)#do show ip route 
10.0.0.0/24. is subnetted, 5 subnets 
10.1.1.0 [150/0] via 10.1.2.1 
10.1.2.0 is directly connected, Serial0/0/0 
10.1.3.0 is directly connected, Serial0/0/1 
10.1.4.0 [150/0] via 10.1.3.1 
10.1.5.0 [150/0] via 10.1.2.1 
172.16.0.0/24 is subnetted, 1 subnets 
172.16.10.0 [150/0] via 10.1.3.1 
192.168.10.0/24 is directly connected, FastEthernet0/0 
192 .168.20.0/24 is directly connected, FastEthernet0/1 
192.168.30.0/24 [150/0] via 10.1.3.1 
192.168.40.0/24 [150/0] via 10.1.2.1 


现在 R1 路 由 器 已 经 有 了 一 个 完整 的 路 由 选择 表 。 一 旦 互联 网 络 中 的 其 他 路 由 器 也 都 在 自己 的 路 
由 选择 表 中 包含 了 所 有 的 网 络 ，RI1 就 能 够 与 所 有 远程 网 络 通信 了 。 

3. R2 

路 由 器 R2 与 3 个 网 络 ( 10.1.4.0、192.168.30.0 和 192.168.40.0 ) 直接 相连 接 ， 因 此 需要 加 入 的 路 
由 包括 : 

口 10.1.1.0 

口 10.1.2.0 

口 10.1.3.0 

口 10.1.5.0 

口 192.168.10.0 

口 192.168.20.0 

口 172.16.10.0 

下 面 就 是 为 R2 路 由 器 进行 的 配置 : 

R2Cconfig)#ip route 10.1.1.0 255.255.255.0 10.1.4.1 150 

R2Cconfig)#ip route 10.1.2.0 255.255.255.0 10.1.4.1 150 

R2Cconfig)#ip route 10.1.3.0 255.255.255.0 10.1.4.1 150 

R2Cconfig)#ip route 10.1.5.0 255.255.255.0 10.1.4.1 150 

R2Cconfig)#ip route 192.168.10.0 255.255.255.0 10.1.4.1 150 

R2Cconfig)#ip route 192.168.20.0 255.255.255.0 10.1.4.1 150 

R2Cconfig)#ip route 172.16.10.0 255.255.255.0 10.1.4.1 150 


waaNNU 
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R2Cconfig)#do show run | begin ip route 

ip route 10.1.1.0 255.255.255.0 10.1.4.1 150 

ip route 10.1.2.0 255.255.255.0 10.1.4.1 150 

ip route 10.1.3.0 255.255.255.0 10.1.4.1 150 

ip route 10.1.5.0 255.255.255.0 10.1.4.1 150 

ip route 192.168.10.0 255.255.255.0 10.1.4.1 150 
ip route 192.168.20.0 255.255.255.0 10.1.4.1 150 
ip route 172.16.10.0 255.255.255.0 10.1.4.1 150 


下 面 的 输出 给 出 了 R2 路 由 器 上 路 由 选择 表 中 的 内 容 : 


R2Cconfig)#do show ip route 
10.0.0.0/24 is subnetted, 5 subnets 
10.1.1.0 [150/0] via 10.1.4.1 
10.1.2.0 [150/0] via 10.1.4.1 
10.1.3.0 [150/0] via 10.1.4.1 
10.1.4.0 is directly connected, Serial0/0/0 
10.1.5.0 [150/0] via 10.1.4.1 
172.16.0.0/24 is subnetted, 1 subnets 
172.16.10.0 [150/0] via 10.1.4.1 
192.168.10.0/24 [150/0] via 10.1.4.1 
192.168.20.0/24 [150/0] via 10.1.4.1 
192.163.30.0/24 is directiy connected, FastEthernet0/0 
192.168.40.0/24 is direct1y connected, FastEthernet0/1 


在 这 里 R2 显示 了 此 互联 网 络 中 全 部 的 10 个 网 络 , 因此 目前 R2 也 能 够 与 所 有 的 路 由 器 和 网 络 ( 那 
些 当 前 已 经 完成 配置 的 ) 通信 。 

4. R3 

路 由 器 R3 直接 与 网 络 10.1.5.0 和 172.16.10.0 相连 ， 因 此 需要 的 路 由 一 共有 8 个 ， 它 们 包括 ; 

口 10.1.1.0 

口 10.1.2.0 

口 10.1.3.0 

口 10.1.4.0 

DD 192.168.10.0 

口 192.168.20.0 

口 192.168.30.0 

口 192.168.40.0 

下 面 就 是 对 R3 路 由 器 的 配置 操作 。 注 意 ， 我 们 在 这 个 路 由 器 上 用 输出 接口 替代 了 下 一 跳 地 址 : 

R3#show run | begin ip route 

R3Cconfig)#ip route 10.1.1.0 255.255.255.0 fastethernet 0/0 150 

R3(Cconfig)#ip route 10.1.2.0 255.255.255.0 fastethernet 0/0 150 

R3Cconfig)#ip route 10.1.3.0 255.255.255.0 fastethernet 0/0 150 

R3(CConfig)#ip route 10.1.4.0 255.255.255.0 fastethernet 0/0 150 

R3(CcConfig)#ip route 192.168.10.0 255.255.255.0 fastethernet 0/0 150 

R3(Cconfig)#ip route 192.168.20.0 255.255.255.0 fastethernet 0/0 150 
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wmwmwm 
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R3Cconfig)#ip route 192.168.30.0 255.255.255.0 fastethernet 0/0 150 
R3Cconfig)#ip route 192.168.40.0 255.255.255.0 fastethernet 0/0 150 
R3#show ip route 
10.0.0.0/24 is subnetted, 5 subnets 


六 mwmwmwm 


10.1.1.0 
10.1.2.0 
10.1.3.0 
10.1.4.0 
10.1.5.0 


is directly 
js direct1y 
is direct1y 
is directly 
is direct1y 


connected, 
connected, 
connected, 
connected, 
connected, 


FastEthernet0/0 
FastEthernet0/0 
FastEthernet0/0 
FastEthernet0/0 
FastEthernet0/0 


172.16.0.0/24 is subnetted, 1 subnets 


mwmwmwm 


R3# 


在 命令 show ip route 的 输出 中 ， 注 意 静 态 路 由 都 被 标明 是 直接 连接 的 。 似 乎 有 些 问 题 ? 但 这 
样 标示 并 没有 错 ， 因 为 对 R3 的 配置 使 用 输出 接口 取代 了 下 一 跳 地 址 ， 在 功能 上 ， 这 两 种 配置 之 间 并 
没有 区 别 ， 只 是 在 路 由 选择 表 中 的 显示 有 所 不 同 。 这 里 已 经 显示 ， 在 配置 静态 路 由 时 使 用 输出 接口 取 
代 下 一 跳 后 路 由 选择 表 中 的 表示 不 同 ， 下 面 来 看 一 种 更 为 简易 的 、 配 置 R3 路 由 器 的 方式 。 


5. 默认 路 由 选择 


连接 到 Corp 路 由 器 的 R2 和 R3 路 由 器 ， 也 称 存根 路 由 器 ( stub router )。 存 根 表示 这 个 示例 中 的 
网 络 只 有 通 往 所 有 其 他 网 络 的 一 条 路 径 。 这 里 将 介绍 配置 方式 , 在 下 一 个 单元 中 给 出 验证 网 络 的 方法 ， 
随后 给 出 对 默认 路 由 选择 的 详细 介绍 。 下 面 给 出 了 在 R3 路 由 器 上 进行 的 配置 ,由 于 R3 为 存根 路 由 器 ， 
因此 可 以 使 用 默认 路 由 取代 8 个 静态 路 由 : 


R3Cconfig)#no 
R3Cconfig)#no 
R3Cconfig)#no 
R3Cconfig)#no 
R3Cconfig)#no 
R3(Cconfig)#no 
R3Cconfig)#no 
R3Cconfig)#no 
R3Cconfig)#ip 
R3Cconfig)#ip 
R3Cconfig)#do 
10.0.0. 


S* 


ip 
ip 
ip 
ip 
ip 
ip 
ip 
ip 


route 
route 
route 
route 
route 
route 
route 
route 


10.1.1.0 255. 
10.1.2.0 255. 
10.1.3.0 255 . 
10.1.4.0 255 . 
192.168.10.0 
192.168.20.0 
192.168.30.0 
192.168.40.0 


route 0.0.0.0 0.0.0.0 


classless 


show ip route 
0/24 is subnetted, 1 subnets 
C 10.1.5.0 is directly connected，V1anl 
172.16.0.0/24 is subnetted, 1 subnets 
C 172.16.10.0 is directly connected, DotijlRadio0 


0.0.0.0/0 [1/0] via 10.1.5.1 


connected, 
connected, 
connected, 
connected, 


172.16.10.0 is directly connected, DotllRadi00/0/0 
192.168.10.0/24 is directly 
192.168.20.0/24 is directly 
192.168.30.0/24 is directly 
192.168.40.0/24 is directly 


FastEthernet0/0 
FastEthernet0/0 
FastEthernet0/0 
FastEthernet0/0 


255 
255 
255 
255 
255 
255 
255 
255 


.255 
.255 
.255 
.255 
.255 
.255 
.255 
.255 
10.1.5.1 


.0 FastEthernet0/0 150 
.0 FastEthernet0/0 150 
.0 FastEthernet0/0 150 
.0 FastEthernet0/0 150 
.255.0 FastEthernet0/0 
.255.0 FastEthernet0/0 
.255.0 FastEthernet0/0 
.255.0 FastEthernet0/0 


150 
150 
150 
150 
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很 好 , 一 旦 将 最 初 配置 的 所 有 静态 路 由 删除 ,我们 就 可 以 开始 默认 路 由 的 配置 ， 可 以 看 出 这 要 比 
输入 8 条 静态 路 由 简单 许多 。 但 是 ， 有 一 个 需要 注意 的 问题 ， 即 不 能 将 这 一 配置 方式 应 用 到 所 有 路 由 
器 上 ， 它 只 适用 于 存根 路 由 器 。 由 于 R2 路 由 器 也 是 一 个 存根 路 由 器 ， 因 此 在 上 面 也 可 以 同样 使 用 默 
认 路 由 ,但 是 在 为 它 配置 默认 路 由 时 不 建议 再 附加 150， 即 便 这 一 添加 不 会 增加 太 多 的 工作 量 。 之 所 
以 不 建议 这 么 做 ， 是 因为 当 后 面 处 理 动态 路 由 选择 时 ， 如 果 需 要 可 以 将 整 条 路 由 简单 地 删除 ， 在 这 里 
附加 这 个 150 没有 实质 意义 。 

终于 到 最 后 了 ， 至 此 所 有 的 配置 都 已 经 完成 ! 所 有 路 由 器 都 拥有 了 正确 的 路 由 选择 表 ， 所 以 此 时 
所 有 路 由 器 和 主机 都 可 以 进行 无 障碍 通信 。 但是， 如 果 向 这 个 互联 网 络 中 再 添加 哪怕 一 个 网 络 或 一 个 
路 由 器 ， 你 都 必须 为 每 一 个 路 由 器 的 路 由 选择 表 进 行 手动 更 新 ! 如 果 管 理 的 只 是 一 个 小 型 网 络 ， 这 不 
是 什么 问题 ， 但 如 果 是 一 个 大 型 互联 网 络 ， 这 一 更 新 就 会 大 大 消耗 管理 人 员 的 宝贵 时 间 ! 

6. 验证 配置 

事情 到 这 里 并 没有 真正 结束 ， 一 旦 完成 了 对 所 有 路 由 器 路 由 选择 表 的 配置 ， 接 下 来 就 需要 对 这 些 
配置 进行 验证 。 完 成 这 一 验证 的 最 好 方式 ， 除 了 使 用 show ip route 命令 ， 就 是 使 用 Ping 操作 。 这 
里 将 从 R3 路 由 器 对 R1 路 由 器 的 ping 操作 开始 。 

下 面 就 是 这 一 操作 的 输出 结果 : 

R3#ping 10.1.2.2 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 10.1.2.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 

从 路 由 器 R3 上 也 可 以 完成 对 Corp 主干 路 由 器 、WWW 服务 器 、 电 子 邮 件 服务 器 和 DNS 服务 器 
的 ping 测试 操作 。 下 面 是 对 此 路 由 器 进行 操作 时 的 输出 : 

R3#ping 10.1.1.1 

Type escape sequence to abort. 


Success rate js 100 percent (5/5), round-trip min/avg/max = 1/2/5 ms 


R3#ping 10.1.1.2 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max = 4/7/10 ms 


R3# ping 10.1.1.3 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max = 5/7/10 ms 
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R3#ping 10.1.1.4 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.1.1.4, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max = 3/5/10 ms 


此 外 ， 我 们 还 可 以 从 无 线 移动 用 户主 机 上 trace 连接 到 R2 路 由 器 上 的 Finance ( 财务 部 ) 主机 ， 
来 了 解 一 下 到 达 Finance 主机 的 分 组 都 经 历 了 哪些 跳 ， 在 进行 这 一 操作 之 前 需要 确认 移动 用 户主 机 已 
经 接收 到 了 位 于 R3 路 由 器 上 的 DHCP 服务 器 的 地 址 : 


PC>ipconfig 

IP Address.....................: 172.16.10.2 
Subnet Mask.....,......,........ : 255.255.255.0 
Default Gateway.........-........: 172.16.10.1 


PC>ping 192.168.10.2 

Pinging 192.168.10.2 with 32 bytes of data: 

Reply from 192.168.10.2: bytes=32 time=17ms TTL=125 
Reply from 192.168.10.2: bytes=32 time=21ms TTL=125 


Reply from 192.168.10.2: bytes=32 time=l9ms TTL=125 
Reply from 192.168.10.2: bytes=32 time=17ms TTL=125 


Ping statistics for 192.168.10.2: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times jin milii-seconds: 

Minimum = 17ms, Maximum = 21ims, Average = 18ms 


PC>tracert 192.168.10.2 
Tracing route to 192.168.10.2 over a maximum of 30 hops: 


1 15 ms 11 ms 14 ms 172.16.10.1 
2 13 ms 13 ms 8 ms 10.1.5.1 
3 12 ms 14 ms 15 ms 10.1.2.2 
4 16 ms 14 ms 15 ms 192 .168.10.2 


Trace complete. 


注意 ,由 于 是 在 Windows 主机 上 ,， 这 里 使 用 的 命令 是 tracert。 记 住 ,tracert 不 是 一 个 有 效 的 
思科 命令 ， 在 路 由 器 的 提示 符 下 必须 使 用 命令 traceroute。 

很 好 ， 至 此 由 于 已 经 可 以 实现 端 到 端的 通信 ， 并 且 可 以 无 障碍 地 到 达 每 台 主 机 ， 因 此 目前 已 经 完 
成 了 对 静态 路 由 和 默认 路 由 的 成 功 配置 ! 
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8.3.2 ”默认 路 由 选择 


使 用 默认 路 由 ， 我 们 可 以 转发 那些 远程 目的 网 络 不 在 路 由 选择 表 中 列 出 的 分 组 到 下 一 跳 路 由 器 。 
我 们 只 可 以 在 存根 网 络 上 配置 默认 路 由 ， 因 为 这 些 网 络 到 达 外 界 网 络 只 有 一 条 外 出 路 径 , 但 是 在 实际 
应 用 中 并 不 总 是 这 样 ， 在 设计 网 络 时 默认 路 由 选择 的 配置 需 具体 情况 具体 分 析 。 这 是 一 个 需要 牢记 的 
经 验 法 则 。 

如 果 尝 试 在 一 个 非 存根 路 由 器 上 配置 默认 路 由 ， 那 么 路 由 器 可 能 会 将 分 组 转发 到 不 正确 的 网 络 
中 ， 因 为 到 达 其 他 路 由 器 的 路 由 可 以 通过 不 止 一 个 接口 实现 。 使 用 默认 路 由 容易 创建 路 由 环 路 ， 因 此 
使 用 时 要 特别 小 心 ! 

配置 默认 路 由 ,我 们 需要 在 配置 静态 路 由 的 命令 中 使 用 网 络 地 址 和 掩 码 的 通配符 来 限定 转发 对 象 
(正如 在 对 R3 的 配置 中 演示 的 那样 )。 事实 上 ， 我 们 可 以 将 默认 路 由 视 为 一 个 用 通配符 蔡 代 网 络 和 子 
网 掩 码 信 息 的 静态 路 由 。 

通过 使 用 默认 路 由 ,我们 可 以 只 创建 一 个 静态 路 由 选择 表 项 来 替代 原 有 内 容 。 这 当然 要 比 逐 个 输 
人 所 有 路 由 容易 ! 


R3Cconfig)#ip route 0.0.0.0 0.0.0.0 10.1.5.1 

R3(config)#ip classless 

R3Cconfig)#do show ip route 

Gateway of last resort is 10.1.5.1 to network 0.0.0.0 
10.0.0.0/24 is subnetted, 1 subnets 


C 10.1.5.0 is directly connected, FastEthernet0/0 
172.16.0.0/24 is subnetted, 1 subnets 
C 172.16.10.0 is directly connected, DotllRadio0/0/0 


S* 0.0.0.0/0 [1/0] via 10.1.5.1 


在 上 面 给 出 的 路 由 选择 表 输 出 中 , 我 们 可 以 看 到 两 个 直接 相连 的 网 络 和 一 个 标记 有 S* 的 表 项 , S* 
表明 此 表 项 是 一 个 可 用 的 默认 路 由 。 因 此 ， 除 在 R3 上 配置 8 个 静态 路 由 ， Bo 
实现 此 默认 路 由 的 配置 : 


R3Cconfig)#ip route 0.0.0.0 0.0.0.0 Fa0/0 


这 个 配置 表明 ， 对 于 在 路 由 选择 表 没 有 对 应 表 项 的 网 络 ， 都 将 由 Fa0/0 转发 出 去 。 在 这 里 ， 我 们 
既 可 以 使 用 下 一 跳 路 由 器 的 IP 地 址 ， 也 可 以 使 用 输出 接口 ， 最 终 的 结果 都 是 一 样 的 。 注 意 ， 在 对 R3 
进行 静态 路 由 配置 时 ， 我 们 使 用 的 就 是 输出 接口 ， 在 其 路 由 选择 表 中 显示 为 直接 连接 。 然 而 ， 在 对 
R3 进行 默认 路 由 配置 时 ， 我 们 使 用 的 是 下 一 跳 的 配置 方式 ， 不 过 在 功能 实现 上 并 没有 什么 不 同 。 

此 外 还 需要 注意 的 是 ， 这 个 路 由 选择 表 的 第 一 行 指出 最 终 网 关 目 前 也 被 设置 了 。 另 外 ， 在 使 用 默 
认 路 由 时 还 有 需要 了 解 的 另 一 个 命令 : ip classless 命令 。 

几乎 所 有 思科 路 由 器 都 是 有 类 路 由 器 ， 也 就 是 说 ， 路 由 器 的 每 个 接口 预 设 使 用 默认 的 子 网 掩 码 。 
当 路 由 器 接收 到 一 个 目的 子 网 不 在 路 由 选择 表 中 的 分 组 时 ， 默 认 将 丢弃 这 个 分 组 。 因 此 ， 如 果 在 配置 
中 使 用 了 默认 路 由 选择 ， 这 里 就 必须 使 用 ip classless 命令 ， 因 为 在 路 由 选择 表 中 可 能 没有 远程 网 
络 的 子 网 。 为 什么 ? 因为 那些 与 路 由 选择 表 中 非 默认 路 由 的 表 项 具有 相同 子 网 类 别 的 子 网 在 转发 时 会 
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忽略 默认 路 由 的 存在 ， 而 使 用 了 这 个 命令 就 基本 是 在 说 “ 嘿 ， 卫 ! 在 你 丢弃 分 组 之 前 ， 请 确认 一 下 最 
终 网 关 是 否 已 经 配置 !” 

由 于 在 我 的 路 由 器 上 IOS 版 本 均 为 12.4， 默 认 情 况 下 这 个 ip classless 命令 处 于 启用 状态 ， 因 
此 在 配置 中 可 以 不 再 使 用 这 个 命令 。 在 配置 默认 路 由 选择 时 ， 如 果 没 有 执行 过 这 个 命令 ， 并 且 对 路 由 
器 进行 过 子 网 划分 ， 那 么 就 需要 添加 这 个 命令 。 这 个 命令 的 使 用 方式 如 下 : 


R3Cconfig)#ip classless 


如 果 你 在 互联 网 络 中 已 经 配置 好 了 最 终 网 关 ， 命 令 ip default-network 会 是 另 一 个 非常 有 用 的 
命令 , 我 将 在 本 章 结束 部 分 的 配置 示例 中 使 用 这 个 命令 。 图 8-11 给 出 了 一 个 需要 使 用 最 终 网 关 配 置 语 
句 的 示例 。 


ISP 


网 关 
3D 


图 8-11 配置 最 终 网 关 


这 里 有 3 个 配置 命令 ，( 都 可 用 于 实现 默认 路 由 配置 可 以 用 来 在 路 由 器 上 添加 到 ISP 的 最 终 网 关 。 
Gateway(config)#ip route 0.0.0.0 0.0.0.0 217.124.6.1 
Gateway(config)#ip route 0.0.0.0 0.0.0.0 s0/0 


Gateway(config)#ip default-network network 


前 面 两 个 命令 的 作用 是 相同 的 , 只 是 其 中 一 个 使 用 下 一 跳 路 由 器 的 IP 地 址 , 而 另 一 个 使 用 的 是 输 
出 接口 。 正如 前 面 已 经 讨论 过 的 , 应 用 这 个 配置 并 不 会 看 到 什么 不 同 。 如 果 和 需要 从 这 两 个 中 进行 选择 ， 
你 应 该 选择 输出 接口 。 知 道 为 什么 吗 ? 直接 连接 路 由 的 管理 距离 为 0， 但 是 在 这 个 示例 中 ， 对 于 这 两 
个 命令 是 看 不 出 任何 功能 上 的 差别 的 。 

当 对 路 由 器 配置 了 一 个 IGP ( Interior Gateway Protocol， 内 部 网 关 协 议 ) 时 ， 如 RIP， 命 令 ip 
defau1t-network 将 会 在 边界 路 由 器 上 通告 这 个 默认 网 络 的 信息 。 这 样 , 此 互联 网 络 中 的 其 他 路 由 器 
将 接收 这 个 信息 ， 并 自动 地 设置 这 个 路 由 为 默认 路 由 。 再 重申 一 次 ， 我 将 在 本 章 结 尾 处 的 网 络 中 使 用 
这 个 命令 ， 你 是 不 是 对 此 有 些 期 待 ? 

如 果 错 误 地 配置 了 一 个 默认 路 由 ， 又 会 发 生 些 什 么 呢 ? 先 来 看 一 下 show ip route 命令 的 输出 ， 
并 与 图 8-12 中 的 网 络 进行 比较 ， 看 一 下 是 否 能 够 发 现 其 中 的 问题 。 
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Router#sh ip route 
[output cut] 
Gateway of last resort is 172.19.22.2 to network 0.0.0.0 


人 172.17.22.0 is directly connected, FastEthernet0/0 
C 172.18.22.0 is directly connected, Serial0/0 
S* 0.0.0.0/0 [1/0] via 172.19.22.2 


> 172.18.22.0 
一 CC 


172.17.22.0 172.31.5.0 
图 8-12 错误 配置 的 默认 路 由 


看 出 问题 了 吗 ? 通过 查看 拓扑 图 和 路 由 选择 表 中 直接 连接 的 路 由 ， 你 应 该 可 以 发 现 这 个 WAN 链 
接 所 属 的 网 络 是 172.18.22.0, 而 默认 路 由 却 是 将 所 有 分 组 转发 到 了 172.19.22.0 网 络 。 这 就 是 问题 所 在 ， 
网 络 将 不 能 正常 工作 ， 所 以 这 是 一 个 因 错 误 配 置 静态 (默认 ) 路 由 导致 的 问题 。 

在 学 习 动 态 路 由 选择 之 前 ， 这 里 还 有 最 后 一 个 问题 : 如 果 路 由 选择 表 的 输出 如 下 所 示 ， 并 且 当 路 
由 器 接收 到 一 个 来 自 10.1.6.100 且 去 往 10.1.8.5 主机 的 分 组 时 ， 路 由 器 会 如 何 处 理 ? 

Router#sh ip route 

[output cut] 

Gateway of last resort is 10.1.5.5 to network 0.0.0.0 


10.1.3.0 [120/1] via 101.2.2, 00:00:00,，Serial 0/0 
10.1.2.0 is directly connected, Serial0/0 
10.1.5.0 is directly connected, Serial0/1 

C 10.1.6.0 is directly connected, Fastethernet0/0 

R* 0.0.0.0/0 [120/0] via 10.1.5.5, 00:00:00 Serial 0/1 

这 儿 与 前 面 讨论 过 的 内 容 略 有 不 同 ， 因 为 这 里 的 默认 路 由 被 标示 为 R*， 它 表明 这 是 一 个 由 RIP 
注 和 人 的 路 由 。 造 成 这 一 结果 的 原因 ， 是 有 人 在 某 个 远程 路 由 器 上 配置 了 ip defau1t-network 命令 ， 
并 且 还 配置 了 RIP， 从 而 导致 RIP 通过 此 互联 网 络 将 这 个 路 由 通告 为 一 个 默认 路 由 。 由 于 此 数据 的 目 
的 地 址 是 10.1.8.5， 而 在 路 由 选择 表 中 又 不 存在 一 个 通 往 10.1.8.0 网 络 的 路 由 , 因此 该 路 由 器 会 使 用 这 
个 默认 路 由 ， 将 这 个 分 组 从 串 行 接口 0/1 送出 。 


8.4 动态 路 由 选择 


动态 路 由 选择 就 是 路 由 器 根据 协议 查找 网 络 并 更 新 路 由 选择 表 。 是 的 , 使 用 动态 路 由 选择 要 比 使 
用 静态 或 默认 路 由 选择 容易 ， 但 会 占用 更 多 的 路 由 器 CPU 处 理 时间 和 网 络 带宽 。 路 由 选择 协议 为 路 
由 器 定义 了 一 组 在 相 邻 路 由 器 间 交 换 路 由 选择 信息 的 规则 。 


门 中 万 
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本 章 将 介绍 的 路 由 选择 协议 是 RIP ( Routing Information Protocol， 路 由 信息 协议 ) 版 本 1 和 版 本 2。 

在 互联 网 中 经 常 使 用 的 路 由 选择 协议 有 两 种 ， 即 IGP ( Interior Gateway Protocol， 内 部 网 关 协 议 ) 
和 EGP ( Exterior Gateway Protocol， 外 部 网 关 协 议 )。IGP 用 于 在 同一 个 AS ( Autonomous System， 自 
治 系统 ) 中 的 路 由 器 间 交 换 路 由 选择 信息 。 而 AS 是 一 个 位 于 共同 管理 域 下 的 网 络 集合 ， 其 基本 原理 
是 将 所 有 需要 共享 相同 的 路 由 选择 表 信息 的 路 由 器 置 于 同一 个 AS 中 。EGP 用 于 AS 之 间 的 通信 。EGP 
的 一 个 典型 示例 是 BGP ( Border Gateway Protocol ， 边 界 网 关 协 议 )， 关 于 这 个 协议 的 内 容 已 经 超出 了 
本 书 的 讲述 范围 。 

由 于 路 由 选择 协议 是 动态 路 由 选择 的 核心 内 容 ， 本 章 接 下 来 的 内 容 将 首先 介绍 其 基本 知识 。 在 这 
之 后 ,我 们 会 集中 介绍 相关 的 配置 。 


路 由 选择 协议 基础 


在 深入 学 习 RIP 之 前 ， 有 一 些 关于 路 由 选择 协议 的 重要 概念 必须 掌握 ,特别 是 需要 正确 理解 管理 
距离 、3 种 不 同类 型 的 路 由 选择 协议 以 及 路 由 环 路 。 在 下 面 的 单元 中 ， 我 们 将 分 别 对 这 些 内 容 进 行 详 
细 介 绍 。 

1. 管理 距离 

AD (Administrative Distance， 管 理 距 离 ) 用 来 衡量 路 由 器 已 接收 到 的 、 来 自 相 邻 路 由 器 的 路 由 选 
择 信 息 的 可 信 度 。 管理 距离 可 以 是 一 个 0 一 255 之 间 的 整数 ， 其 中 0 表示 最 可 信赖 ,255 则 意味 着 不 会 
有 通信 量 通过 这 个 路 由 。 

如 果 路 由 器 接收 了 两 个 对 同一 远程 网 络 的 更 新 信息 ， 路 由 器 会 首先 检查 更 新 信息 的 AD。 如 果 
被 通告 的 路 由 中 有 一 个 的 AD 值 比 另 一 个 的 低 ， 那 么 这 个 拥有 较 低 AD 值 的 路 由 将 被 放置 在 路 由 选 
择 表 中 。 

如 果 被 通告 的 到 同一 网 络 的 两 个 路 由 具有 相同 的 AD， 那 么 路 由 选择 协议 的 度量 值 ( 如 跳 计数 或 
链 路 的 带宽 ) 将 被 用 作 判 断 到 达 远程 网 络 最 佳 路 径 的 依据 。 带 有 最 低 度 量 值 的 、 被 通告 的 路 由 将 被 放 
置 在 路 由 选择 表 中 。 但 是 ， 如 果 两 个 被 通告 的 路 由 拥有 相同 的 AD 以 及 相同 的 度量 值 ， 这 时 该 路 由 选 
择 协议 将 会 在 这 一 远程 网 络 中 使 用 负载 均衡 ( 也 就 是 将 所 发 送 的 分 组 分 配 到 每 个 链 路 上 )。 

表 8-2 给 出 了 思科 路 由 器 用 来 判断 通 往 远程 网 络 的 路 由 优 劣 的 默认 管理 距离 。 


表 8-2 ”默认 的 管理 距离 


路 由 源 歌 认 AD 
直 连 接口 0 

静态 路 由 1 

EIGRP 90 

IGRP 100 

OSPF 110 

RIP 120 

外 部 EIGRP 170 


未 知 255 ( 这 个 路 由 不 会 被 使 用 ) 
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如 果 某 个 网 络 与 路 由 器 是 直接 连接 的 ， 那 么 该 路 由 器 将 一 直 使 用 这 个 接口 连接 这 个 网 络 。 如 
果 在 路 由 器 上 配置 了 一 个 静态 路 由 ， 则 该 路 由 器 将 确信 这 个 路 由 要 优 于 那些 习 得 的 路 由 。 静 态 路 
由 的 管理 距离 是 可 以 修改 的 ， 但 默认 情况 下 ， 它 的 AD 值 为 1。 在 前 面 介绍 过 的 静态 路 由 配置 中 ， 
每 个 路 由 的 AD 值 都 被 修改 为 150。 这 样 ， 我 们 在 配置 路 由 选择 协议 时 ， 就 不 必 再 删除 这 些 静 态 
路 由 。 同 时 ， 当 所 使 用 的 路 由 选择 协议 因 遭 遇 了 某 种 故障 而 失效 时 ， 这 些 路 由 可 以 作为 备用 路 由 
发 挥 作用 。 
例如 , 假设 对 同一 个 网 络 同时 存在 静态 路 由 、RIP 通告 的 路 由 和 卫 IGRP 通告 的 路 由 ,那么 路 由 器 
将 一 直 默 认 使 用 静态 路 由 ， 除 非 如 前 面 示例 那样 修改 了 静态 路 由 的 AD 值 。 
2. 路 由 选择 协议 
路 由 选择 协议 可 以 分 为 3 大 类 。 
口 距离 矢量 ”距离 矢量 协议 通过 判断 距离 确定 当前 到 达 远程 网 络 的 最 佳 路 径 。 例 如 , 在 RIP 路 
由 选择 的 应 用 中 ， 分 组 每 通过 一 个 路 由 器 ， 就 称 为 一 跳 。 到 达 目 标 网 络 需要 最 少 跳 数 的 路 由 
被 认为 是 最 佳 路 由 。 矢 量 用 于 指明 远程 网 络 所 在 的 方向 。RIP 和 IGRP 都 属于 距离 矢量 路 由 选 
择 协议 。 它 们 定期 地 发 送 整 个 路 由 选择 表 给 直接 相连 的 路 由 器 。 
口 链 路 状态 ” 链 路 状态 协议 ， 又 称 最 短路 径 优先 协议 ， 路 由 器 将 分 别 创建 3 个 彼此 独立 的 表 。 
其 中 的 一 个 表 用 来 跟踪 直接 相连 接 的 邻居 ， 一 个 用 来 确定 整个 互联 网 络 的 拓扑 结构 ， 而 另 一 
个 则 用 作 路 由 选择 表 。 链 路 状态 路 由 器 要 比 任 一 使 用 距离 矢量 路 由 选择 协议 的 路 由 器 了 解 更 
多 地 关于 互联 网 络 的 情况 。OSPF 是 一 个 完 完全 全 的 链 路 状态 IP 路 由 选择 协议 。 链 路 状态 协议 
将 包含 有 自身 链接 状态 的 更 新 发 送 到 网 络 中 其 他 所 有 直接 连接 的 路 由 器 上 ， 然 后 再 由 这 些 路 
.由 器 传播 到 它们 的 相 邻 设备 。 
口 混合 型 ”混合 型 协议 将 同时 具有 距离 矢量 和 链 路 状态 两 种 协议 的 特性 ， 例 如 EIGRP。 
没有 哪 一 种 路 由 选择 协议 配置 方式 适用 于 所 有 情况 ,具体 情况 应 具体 分 析 。 只 有 理解 了 不 同 路 由 
选择 协议 的 工作 方式 ， 我 们 才能 做 出 好 的 、 正 确 的 选择 ， 从 而 真正 满足 具体 的 应 用 需要 。 


8.5 距离 矢量 路 由 选择 协议 


距离 矢量 路 由 选择 算法 发 送 完整 的 路 由 选择 表 内 容 到 相 邻 的 路 由 器 ,然后 相 邻 的 路 由 器 将 接收 到 
的 路 由 选择 表 项 与 它们 原 有 的 路 由 选择 表 合并 ,以 完善 自己 的 路 由 选择 表 。 由 于 路 由 器 接收 到 的 更 新 
信息 只 是 相 邻 路 由 器 对 于 远程 网 络 的 认 知 ， 路 由 器 并 不 会 自己 查证 这 些 内 容 ， 所 以 这 一 方式 又 被 戏称 
为 传闻 路 由 。 

某 一 网 络 与 同一 远程 网 络 之 间 可 能 会 同时 存在 多 条 链 路 ， 如 果 更 新 数据 同时 到 达 ， 协 议会 首 
先 检查 每 一 更 新 的 管理 距离 。 如 果 它 们 的 AD 相同 ， 协 议会 使 用 量度 值 判 断 通 往 远 程 网 络 的 最 佳 
路 径 。 

RIP 只 使 用 跳 计 数 判定 到 达 某 个 网 络 的 最 佳 路 径 。 如 果 RIP 发 现 对 于 同一 个 远程 网 络 存在 多 个 具 
有 相同 跳 计 数 的 链 路 ， 则 RIP 将 自动 执行 循环 负载 均衡 。RIP 可 以 对 多 达 6 个 〈 默 认为 4 个 ) 等 价 链 
路 实现 负载 均衡 。 

然而 ， 当 两 条 通 往 同 一 远程 网 络 的 链 路 具有 不 同 的 带宽 ， 但 是 有 相同 的 跳 计数 时 ， 这 种 类 型 的 路 
由 度量 将 会 导致 问题 。 例 如 ， 图 8-13 给 出 了 两 条 通 往 远 程 网 络 172.16.10.0 的 链 路 。 
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图 8-13 针 孔 拥塞 


由 于 网 络 172.16.30.0 是 一 条 带宽 为 1.544 Mbit/s 的 T1 链 路 , 而 网 络 172.16.20.0 则 仅 是 一 条 56 
K 的 链 路 ， 路 由 器 正确 的 选择 自然 是 T1 而 不 是 56KK 链 路 。 但 是 ， 由 于 RIP 路 由 选择 协议 只 使 用 跳 
计数 作为 其 唯一 的 量度 ， 因 此 这 两 个 链 路 被 视 为 是 具有 相同 开销 的 等 价 链 路 。 这 种 小 状况 称 为 针 孔 
拥塞 。 

理解 距离 矢量 路 由 选择 协议 在 启动 时 的 工作 过 程 非常 重要 。 在 图 8-14 中 ,4 个 路 由 器 在 启动 时 其 
路 由 选择 表 中 只 有 对 应 与 其 直接 相连 网 络 的 表 项 。 当 距离 矢量 路 由 选择 协议 在 每 台 路 由 器 上 都 开始 运 
行 后 ， 路 由 器 将 会 使 用 从 相 邻 路 由 器 处 得 到 的 所 有 路 由 信息 更 新 其 路 由 选择 表 。 

正如 图 8-14 给 出 的 , 每 台 路 由 器 在 各 自 的 路 由 选择 表 中 只 有 直接 相连 网 络 的 信息 。 每 台 路 由 器 都 
将 从 各 自 每 个 激活 的 接口 上 发 送出 自己 完整 的 路 由 选择 表 。 每 台 路 由 器 的 路 由 选择 表 中 都 包含 网 络 
号 、 输 出 接口 和 到 达 网 络 的 跳 计 数 。 
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172.16.20.0 |E0 | 172.16.40.0 


172.16.10.0 人 Wo ie 172.16.50.0 
Ce E0L ~ 50 SO “og Sl SO EO 
Em Hs dt 


2501A 2501B 2501C 
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Bs 


216400| so | 
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172.16300| Eo | o| 
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8-14 ”使 用 距离 矢量 路 由 选择 的 互联 网 络 


在 图 8-15 中 , 这 些 路 由 选择 表 都 已 经 包含 了 此 互联 网 络 中 所 有 网 络 的 信息 , 因此 是 完整 的 。 这 时， 
它们 又 被 称 为 是 已 会 聚 的 。 当 路 由 器 处 于 会 聚 状态 时 ， 可 能 没有 数据 会 被 传递 。 因 此 短 的 会 聚 时 间 是 
大 家 真正 希望 的 。 事 实 上 ，RIP 存在 一 个 问题 ， 就 是 它 的 会 聚 时 间 较 长 。 

每 台 路 由 器 的 路 由 选择 表 都 会 保存 有 关 远 程 网 络 的 必要 信息 ,包括 网 络 号 、 路 由 器 用 于 将 分 组 发 
送 到 远程 网 络 的 接口 ， 以 及 到 达 远 程 网 络 的 跳 计数 或 量度 值 。 
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172.16.30.0 


172.16.20.0 172.16.40.0 


172.16.10.0 


172.16.50.0 
时 | 


路 由 选择 表 路 由 选择 表 路 由 选择 表 
172.16.10.0| Eo |o| [172.16200| so |o| [172.16400| so lo 
172.16200| so |o| [172.16300| Eo lo| |172.16500| Eo lo 


172.16.30.0 172.16.10.0| S0 |2 
172.16.40.0 172.16.10.0| S0 172.16.20.0| S0 |1 
172.16.50.0 172.16.50.0 172.16.30.0| S0 |1 


图 8-15 会 聚 的 路 由 选择 表 


172.16.10.0 
172.16.20.0 | FO0/0| 1 
172.16.30.0 | F0/0|2 
172.16.40.0 | F0/0|2 


172.16.50.0 | FO0/0|3 


路 由 环 路 


距离 矢量 路 由 选择 协议 会 在 所 有 激活 的 接口 上 定期 广播 路 由 更 新 ,以 此 跟踪 互联 网 络 中 的 任何 改 
变 。 广 播 内 容 包括 整个 路 由 选择 表 。 这 一 方案 是 可 行 的， 只 是 需要 占用 一 定 的 CPU 处 理 资源 和 链 路 
带宽 。 但是， 当 某 个 网 络 瘫痪 时 ， 真 正 的 问题 就 有 可 能 会 出 现 ， 特 别 是 距离 矢量 路 由 选择 协议 的 慢 会 
聚 ， 最 终 会 导致 不 一 致 的 路 由 选择 表 和 路 由 环 路 。 

导致 路 由 环 路 的 原因 可 能 是 每 台 路 由 器 不 能 同时 或 近乎 同时 地 更 新 路 由 选择 表 。 作 为 一 个 示例 ， 
在 图 8-16 中 假设 连接 到 网 络 5 的 接口 出 现 了 故障 。 所 有 的 路 由 器 对 网 络 5 的 了 解 都 来 自 RouterE。 
RouterA 的 路 由 选择 表 中 有 一 条 通 往 网 络 5 的 路 径 ， 它 需要 通过 RouterB。 


网 络 3 网 络 4 网 络 5 


RouterC RouterE 


和 
RouterD 


图 8-16 路 由 环 路 示例 


当 网 络 5 出 现 问题 时 ，RouterE 会 通告 RouterC。 这 样 ，RouterC 会 停止 使 用 通过 RouterE 到 达 网 
络 5 的 路 由 选择 。 但 是 ，RouterA、RouterB 和 RouterD 还 不 知道 关于 网 络 5 的 问题 ， 于 是 它们 继续 发 
送 更 新 信息 。 最 后 ，RouterC 会 送出 自己 的 路 由 更 新 ， 并 致使 RouterB 停止 到 网 络 5 的 路 由 选择 ,但 
是 此 时 RouterA 和 RouterD 仍然 没有 被 更 新 。 对 于 它们 来 说 ， 仍 可 以 通过 RouterB 到 达 网 络 5， 其 度 
量 值 为 3。 


294 第 8 章 人 P 路 由 


当 RouterA 仍然 按 常 规 每 30 秒 送 出 “ 喂 ， 我 还 在 这 里 ， 这 些 是 我 了 解 的 链 路 ”这 样 的 信息 时 , 在 
这 个 信息 中 包含 网 络 5 仍然 可 达 的 内 容 ， 这 样 ，RouterB 和 RouterD 都 会 接收 到 这 条 网 络 5 可 以 通过 
RouterA 到 达 的 好 消息 ， 于 是 RouterB 和 RouterD 会 送出 网 络 5 可 达 的 消息 。 此 时 ,任何 一 个 以 网 络 5 
为 目的 的 分 组 都 将 会 被 送 到 RouterA, 再 到 达 RouterB, 然后 再 返回 RouterA。 这 就 是 路 由 环 路 。 那么， 
如 何 能 停止 它 呢 ? 

1. 最 大 跳 计数 i 

路 由 环 路 问题 又 会 导致 无 穷 计 数 问题 ， 它 是 由 互联 网 络 中 传播 、 扩 散 的 传闻 (广播 ) 及 错误 信息 
造成 的 。 如 果 对 此 不 进行 干预 ， 那 么 分 组 每 通过 一 个 路 由 器 ， 其 跳 计数 都 将 增长 。 

解决 这 个 问题 的 一 个 方式 是 定义 一 个 最 大 跳 计 数 。RIP 所 允许 的 最 大 跳 计 数 为 5， 所 以 任何 需要 
经 过 16 跳 才 能 到 达 的 网 络 都 被 认为 是 不 可 达 的 。 换 句 话 说， 在 循环 到 15 跳 后 ， 网 络 5 将 被 认为 是 已 
失去 连接 。 因此 , 最 大 跳 计 数 可 控制 路 由 选择 表 中 的 表 项 在 达到 多 大 的 数值 后 变 为 无 效 的 或 不 可 信 的 。 

2. 水 平分 割 

另 一 个 路 由 环 路 问题 的 解决 方案 是 水 平分 割 。 这 是 一 个 在 距离 矢量 网 络 中 为 了 减少 错误 路 由 信息 
和 路 由 选择 开销 的 强制 传送 规则 ， 其 具体 做 法 是 禁止 路 由 选择 协议 回 传 路 由 选择 信息 ( 即 传送 方向 与 
信息 接收 方向 相反 )。 

换 句 话说 ， 这 里 的 路 由 选择 协议 需要 判断 来 自 网 络 的 路 由 信息 是 从 哪个 接口 收 到 的 , 一 旦 确定 了 
这 一 接口 ， 协 议 就 不 能 再 把 有 关 这 一 路 由 的 信息 从 同一 接口 发 出 。 这 就 可 以 阻止 RouterA 发 送 接收 自 
RouterB 的 更 新 信息 给 RouterB 了 。 

3. 路 由 中 毒 

路 由 中 毒 也 是 一 种 可 行 的 解决 方式 ， 它 可 以 避免 因 更 新 不 一 致 而 导致 的 问题 ， 并 阻止 网 络 环 路 的 
产生 。 例 如 ， 当 网 络 5 出 现 故障 时 ，RouterE 通告 网 络 5 的 跳 计数 为 16 或 不 可 达 ( 有 时 也 被 视 为 无 穷 
大 )， 以 此 启动 路 由 中 毒 。 

这 个 对 于 网 络 5 的 路 由 中 毒 可 以 避免 RouterC 受到 关于 网 络 5 的 错误 更 新 的 干扰 。 当 RouterC 从 
RouterE 处 接收 了 一 个 路 由 中 毒 时 ， 它 会 发 送 一 个 称 为 中 毒 反 转 的 更 新 给 RouterE。 这 就 可 保证 这 个 网 
段 中 的 所 有 路 由 器 都 会 接收 到 这 个 中 毒 的 路 由 信息 。 

4. 保持 关闭 

保持 关闭 可 以 阻止 常规 的 更 新 消息 恢复 一 个 不 断 地 打开 又 关闭 ( 称 为 翻转 ) 的 路 由 。 通 常 ， 在 串 
行 链 路 上 连接 失效 后 又 恢复 的 情况 下 , 这 就 会 产生 。 如 果 没 有 办 法 稳定 这 一 局 面 , 网 络 将 不 可 能 会 聚 ， 
并 是 一 个 不 断 翻转 的 接口 会 最 终 使 整个 网 络 瘫痪 1! 

通过 为 已 关闭 的 路 由 指定 再 恢复 的 许可 时 间或 为 不 稳定 的 网 络 指定 修改 到 下 一 个 最 佳 路 由 需要 
等 待 的 时 间 ， 保 持 关 闭 可 以 阻止 太 频 繁 的 路 由 改变 。 这 也 就 是 要 求 路 由 器 在 特定 的 时 间 段 内 减少 对 新 
近 删 除 路 由 的 修改 。 这 样 就 可 以 阻止 无 效 路 由 对 其 他 路 由 器 路 由 选择 表 的 干扰 。 


8.6 RIP 


RIP( Routing Information Protocol， 路 由 信息 协议 ) 是 一 个 纯粹 的 距离 矢量 路 由 选择 协议 。RIP 每 
隔 30 秒 就 将 自己 完整 的 路 由 选择 表 从 所 有 激活 的 接口 上 送出 。RIP 只 将 跳 计 数 作为 判断 到 达 远程 网 络 
最 佳 路 径 的 依据 ， 并 且 在 默认 情况 下 允许 的 最 大 跳 计数 为 5， 也 就 是 说 16 跳 就 被 认为 是 不 可 达 的 。 
在 小 型 的 网 络 应 用 中 ，RIP 运行 良好 ， 但 对 于 那些 配备 有 慢 速 WAN 链接 的 大 型 网 络 或 者 是 那些 安装 
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有 大 量 路 由 器 的 网 络 ， 它 的 运行 效率 就 很 低 了 。 

RIP 版 本 1 只 使 用 有 类 的 路 由 选择 ， 即 网 络 中 的 所 有 设备 都 必须 使 用 相同 的 子 网 掩 码 。 这 是 因为 
RIP 版 本 1 在 其 发 送 的 更 新 数据 中 不 携带 子 网 掩 码 信息 。RIP 版 本 2 提供 了 前 组 路 由 选择 信息 ， 并 可 
以 在 路 由 更 新 中 传送 子 网 掩 码 信息 。 这 就 是 无 类 的 路 由 选择 。 

在 下 面 的 单元 里 ， 我 们 将 讨论 RIP 定时 器 ， 并 介绍 RIP 配置 。 


8.6.1 RIP 定时 器 


RIP 使 用 了 4 种 定时 器 来 管理 性 能 。 

口 路 由 更 新 定时 器 ”用 于 设置 路 由 更 新 的 时 间 间 隔 (通常 为 30 秒 )， 此 间隔 是 路 由 器 发 送 自己 
路 由 选择 表 的 完整 副本 给 所 有 相 邻 路 由 器 的 时 间 间 隔 。 

口 路 由 失效 定时 器 用 于 路 由 器 在 最 终 认 定 一 个 路 由 为 无 效 路 由 之 前 需要 等 待 的 时 长 〈 通常 为 
180 秒 )。 如 果 在 这 个 认定 等 待 时 间 里 ， 路 由 器 没有 得 到 任何 关于 特定 路 由 的 更 新 消息 ， 路 由 
器 将 认定 这 个 路 由 失效 。 出 现 这 一 情况 时 ， 路 由 器 会 给 所 有 相 邻 设备 发 送 关于 此 路 由 已 经 无 
效 的 更 新 。 

口 保持 失效 定时 器 “用 于 设置 路 由 选择 信息 被 抑制 的 时 长 。 当 路 由 器 接收 到 某 个 表示 路 由 不 可 
达 的 更 新 分 组 时 ， 它 将 进入 保持 失效 状态 。 这 一 保持 状态 将 一 直 持 续 到 路 由 器 接收 到 具有 更 
好 度量 的 更 新 分 组 ， 或 初始 路 由 恢复 正常 ， 或 者 此 保持 失效 定时 器 期 满 。 默 认 情 况 下 ， 该 定 
时 器 的 取 值 为 180 秒 。 

口 路 由 刷新 定时 器 ”用 于 设置 将 某 个 路 由 认定 为 无 效 路 由 起 至 将 它 从 路 由 选择 表 中 删除 的 时 间 
间隔 (通常 为 240 秒 )。 在 将 此 路 由 从 路 由 选择 表 中 删除 之 前 ， 路 由 器 会 将 此 路 由 即将 消亡 的 
消息 通告 给 相 邻 设备 。 路 由 失效 定时 器 的 取 值 一 定 要 小 于 路 由 刷新 定时 器 的 值 。 这 就 为 路 由 
器 在 更 新 本 地 路 由 选择 表 时 先 将 这 一 无 效 路 由 通告 给 相 邻 设备 保留 了 足够 的 时 间 。 


8.6.2 配置 RIP 路 由 选择 


要 配置 RIP 路 由 选择 ， 我 们 只 需 使 用 router rip 命令 启用 这 个 协议 ， 并 配置 RIP 路 由 选择 协议 
需要 通告 的 网 络 。 就 这 么 简单 。 下面 使 用 RIP 路 由 选择 配置 一 个 拥有 4 个 路 由 器 的 互联 网 络 ( 如 图 8-10 
所 示 )。 

1. Corp ， 

RIP 协议 的 管理 距离 为 120。 静 态 路 由 的 默认 管理 距离 为 1， 由 于 目前 的 配置 中 有 静态 路 由 ,因此 
在 默认 条 件 下 RIP 形成 的 路 由 信息 不 会 出 现在 路 由 选择 表 中 。 但是， 由 于 前 面 的 配置 在 每 个 静态 路 由 
的 后 面 都 添加 了 150， 即 其 管理 距离 不 是 默认 值 ， 因 此 这 里 进行 的 配置 可 以 正常 工作 。 

通过 使 用 router rip 命令 和 network 命令 ,我 们 可 以 将 RIP 路 由 选择 协议 添加 到 配置 中 。 
network 命令 用 于 告诉 此 路 由 选择 协议 需要 对 那些 有 类 网 络 进行 通告 。 通过 这 些 RIP 路 由 选择 配置 操 
作 ， 凡 是 地 址 位 于 network 命令 所 指定 网 络 内 的 路 由 器 接口 ， 都 会 运行 RIP 路 由 选择 过 程 。 

下 面 就 是 对 Corp 路 由 器 进行 的 配置 ， 我 们 可 以 看 到 这 一 过 程 非常 简单 : 

Corp#config t 

Corp(Cconfig)#router rip 

Corp(Cconfig-router)#network 10.0.0.0 
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就 是 这 样 。 通 常 ， 我 们 也 就 只 需要 使 用 两 三 个 命令 来 完成 配置 ， 这 要 比 使 用 静态 路 由 时 的 配置 操 
作 简 单 许多 ， 不 是 吗 ? 但 是 ， 需 要 记 住 的 是 ， 这 样 的 配置 会 占用 更 多 的 路 由 器 CPU 处 理 时 间 和 带宽 。 

注意 ,在 这 里 我 们 并 没有 输入 有 关于 网 的 信息 ， 只 输入 了 这 个 有 类 网 络 地 址 ( 其 所 有 的 子 网 位 和 
主机 位 都 为 0! )。 找 出 子 网 信息 并 将 它们 放 人 路 由 选择 表 是 路 由 选择 协议 需要 完成 的 工作 。 由 于 目前 
还 没有 路 由 器 运行 RP， 因 此 在 此 路 由 选择 表 中 暂时 还 不 会 看 到 任何 由 RIP 给 出 的 路 由 。 


记 住 在 配置 网 络 地 址 时 RIP 要 求 使 用 有 类 地 址 。 正 因为 这 样 ， 任 一 个 特定 的 有 
注意 ”类 网 络 中 所 有 子 网 掩 码 在 该 网 络 的 所 有 设备 上 都 必须 是 相同 的 【这 也 就 是 有 类 路 由 
选择 )。 为 了 痔 明 这 一 点 ， 可 以 假设 你 需要 对 一 个 带 有 172.16.10.0、172.16.20.0 和 
172.16.30.0 子 网 的 B 类 网 络 172.16.0.0/24 进 行 配 置 。 这 时 ,配置 中 只 能 输入 172.16.0.0 
这 一 有 类 网 络 地 址 ， 然 后 让 RIP 找 出 这 些 子 网 并 将 相关 信息 放 入 到 路 由 选择 表 中 。 


2. R1 
下 面 对 R1 路 由 器 进行 配置 ， 它 与 3 个 网 络 相连 ， 我 们 需要 对 所 有 这 些 直接 相连 的 有 类 网 络 进行 
配置 (配置 时 不 使 用 子 网 信息 ): 


Ri#config t 

R1Cconfig)#router rip 
RiCconfig-router)#network 10.0.0.0 
Ri(Cconfig-router)#network 192.168.10.0 
RICconfig-router)#network 192.168.20.0 
R1LCconfig-router)#do show ip route 


10.0.0.0/24 is subnetted, 5 subnets 


R 10.1.1.0 [120/1] via 10.1.2.1, 00:00:15, Serial0/0/0 
[120/1] via 10.1.3.1, 00:00:15, Serial0/0/1 

C 10.1.2.0 is directly connected, Serial0/0/0 

C 10.1.3.0 is directly connected, Serial0/0/1 

R 10.1.4.0 [120/1] via 10.1.2.1, 00:00:15, Serial0/0/0 
[120/1] via 10.1.3.1, 00:00:15, Serial0/0/1 

R 10.1.5.0 [120/1] via 10.1.2.1, 00:00:15, Serial0/0/0 


[120/1] via 10.1.3.1, 00:00:15, Serial0/0/1 
172.16.0.0/24 is subnetted, 1 subnets 
172.16.10.0 [150/0] via 10.1.3.1 

192.168.10.0/24 is directly connected, FastEthernet0/0 
192.168.20.0/24 is direct1y connected, FastEthernet0/1 
192.168.30.0/24 [150/0] via 10.1.3.1 

192.168.40.0/24 [150/0] via 10.1.2.1 

Ri(Cconfig-router )# 


可 见 这 个 配置 过 程 相当 简单 。 下 面 来 讨论 这 个 路 由 选择 表 。 由 于 目前 已 经 配置 了 一 个 使 用 RIP 的 
路 由 器 ， 因 此 已 经 可 以 与 之 完成 路 由 选择 表 的 交换 ， 在 这 里 可 以 看 到 来 自 Corp 路 由 器 的 RIP 网 络 。 
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(注意 , 其 他 的 所 有 路 由 目前 还 仍然 是 静态 的 。) RIP 也 将 发 现存 在 两 个 到 Corp 路 由 器 的 连接 ,由 于 到 
每 个 网 络 的 跳 计 数 被 通告 为 1， 它 会 在 被 通告 为 RIP 注入 路 由 的 这 两 个 网 络 上 使 用 负载 均衡 。 幸 运 的 
是 ， 这 两 个 连接 具有 相同 的 带宽 ， 因 而 不 会 有 针 孔 拥塞 问题 。 

3. R2 

下 面 使 用 RIP 对 R2 路 由 器 进行 配置 ; 


R2#config t 
R2Cconfig)#router rip 
R2Cconfig-router)#network 10.0.0.0 
R2Cconfig-router)#network 192.168.30.0 
R2Cconfig-router)#network 192.168.40.0 
R2Cconfig-router)#do show ip route 
10.0.0.0/24 is subnetted, 5 subnets 
10.1.1.0 [120/11 via 10.1.4.1, 00:00:17, Serial0/0/0 . 
10.1.2.0 [120/1] via 10.1.4.1, 00:00:17, Serial0/0/0 
10.1.3.0 [120/1] via 10.1.4.1, 00:00:17, Serial0/0/0 
10.1.4.0 is directly connected, Serial0/0/0 
10.1.5.0 [120/1] via 10.1.4.1, 00:00:17, Serial0/0/0 
172.16.0.0/24 is subnetted, 1 subnets 
172.16.10.0 [150/0] via 10.1.4.1 
192.168.10.0/24 [120/2] via 10.1.4.1, 00:00:17, Serial0/0/0 
192.168.20.0/24 [120/2] via 10.1.4.1, 00:00:17, Serial0/0/0 
192.168.30.0/24 is directly connected, FastEthernet0/0 
192.168.40.0/24 is directly connected, FastEthernet0/1 
R2Cconfig-router )# 


在 不 断 增多 RIP 配置 的 过 程 中 ,路 由 选择 表 中 的 R 表 项 也 在 同步 增加 ! 在 此 路 由 选择 表 中 我 们 仍 
可 以 找到 所 有 路 由 ， 但 其 中 部 分 路 由 仍然 还 是 静态 路 由 ， 下 面 只 剩 一 个 路 由 器 需要 配置 了 。 
4.R3 
现在 用 RTP 完成 对 R3 路 由 器 〈 最 后 一 个 ) 的 配置 : 
R3#config 七 
R3Cconfig)#router rip 
R3(Cconfig-router )#network 10.0.0.0 
R3Cconfig-router)#network 172.16.0.0 
R3(Cconfig-router)#do sh ip route 
10.0.0.0/24 is subnetted，5 subnets 
10.1.1.0 [120/1] via 10.1.5.1, 00:00:15, FastEthernet0/0 
10.1.2.0 [120/1] via 10.1.5.1, 00:00:15, FastEthernet0/0 
10.1.3.0 [120/1] via 10.1.5.1, 00:00:15, FastEthernet0/0 
10.1.4.0 [120/1] via 10.1.5.1, 00:;00:15, FastEthernet0/0 
10.1.5.0 is directly connected, FastEthernet0/0 
172.16.0.0/24 is subnetted, 1 subnets 
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C 172.16.10.0 is directly connected, DotilRadio0/0/0 

R 192.168.10.0/24 [120/2] via 10.1.5.1, 00:00:;15, FastEthernet0/0 
R 192.168.20.0/24 [120/2] via 10.1.5.1, 00:00:15, FastEthernet0/0 
R 192.168.30.0/24 [120/2] via 10.1.5.1, 00:00:15, FastEthernet0/0 
R 192.168.40.0/24 [120/2] via 10.1.5.1, 00:00:15, FastEthernet0/0 
R3# 


最 后 ， 路 由 选择 表 中 所 有 的 路 由 都 显示 为 RIP 注入 的 路 由 。 注 意 ， 由 于 使 用 的 是 有 类 网 络 配 置 描 
述 ， 因 此 WLAN 网 络 应 是 172.16.0.0， 而 不 是 172.16.10.0! 

理解 管理 距离 的 使 用 方式 , 以 及 为 什么 我 们 需要 在 加 入 RIP 路 由 前 删除 静态 路 由 或 者 将 静态 路 由 
的 AD 设置 为 高 于 120， 这 都 很 重要 。 

默认 情况 下 , 直接 连接 路 由 的 管理 距离 为 0, 静态 路 由 的 管理 距离 为 1, 而 RIP 的 管理 距离 为 120。 
这 里 之 所 以 要 将 RIP 称 为 “传闻 协议 ”"， 是 因为 它 常 令 人 想起 在 高 中 时 听 到 的 那些 传闻 ( 就 如 这 里 被 
通告 的 路 由 )， 通 常 这 些 传闻 都 会 毫 无 例外 地 被 人 们 接受 。 而 这 一 切 与 RIP 在 互联 网 络 上 的 工作 方式 
十 分 相像 ， 可 以 说 RIP 就 是 一 个 协议 化 的 传闻 制造 者 ! 


8.6.3 检验 RIP 路 由 选择 表 


现在 每 个 路 由 选择 表 都 应 该 包含 了 所 有 与 路 由 器 直接 相连 接 的 路 由 以 及 由 RIP 注 入 的 来 自 相 邻 路 
由 器 的 路 由 。 下 面 我 们 返回 到 Corp 路 由 器 上 并 查看 一 下 它 的 输出 。 
路 由 器 Cor 的 路 由 选择 表 内 容 如 下 : 


10.0.0.0/24 is subnetted, 5 subnets 

10.1.1.0 is directly connected, Vlanl 

10.1.2.0 is directly connected, Serial0/0/0 

10.1.3.0 is directly connected, Serial0/0/1 

10.1.4.0 is directly connected, Serial0/1/0 

10.1.5.0 is directly connected, FastEthernet0/0 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
R 172.16.0.0/16 [120/1] via 10.1.5.2,00:00:19, FastEthernet0/0 

172.16.10.0/24 [150/0] via 10.1.5.2 
R 192.168.10.0/24 [120/1] via 10.1.2.2, 00:00:19,，Serial0/0/0 
[120/1] via 10.1.3.2, 00:00:19,，Seria10/0/1 

R 192.168.20.0/24 [120/1] via 10.1.2.2,，00:00:19,Serial0/0/0 
2 
2 
2 


nC TI 


[120/1] via 10.1.3.2, 00:00:19, Serial0/0/1 
R 192.168.30.0/24 [120/1] via 10.1.4.2,，00:00:19,Serial0/1/0 
R 192 .168.40.0/24 [120/1] via 10.1.4. 
Corp# 
在 此 路 由 选择 表 输 出 中 , 除了 R 标志 外 , 我 们 看 到 了 与 使 用 静态 路 由 配置 时 基本 相同 的 路 由 表 项 。 
这 里 的 R 表明 表 中 列 出 的 这 些 网 络 是 由 于 使 用 了 RIP 路 由 选择 协议 而 被 动态 加 入 的 。[120/1] 是 指 路 
由 的 管理 距离 ( 120 ) 和 前 往 远 程 网 络 需 要 的 跳 计 数 ( 1 )。 从 Corp 路 由 器 出 发 ， 前 往 所 有 的 网 络 都 只 
需要 一 跳 。 在 这 个 表 中 有 一 个 奇怪 的 表 项 ， 就 是 你 可 能 已 经 注意 到 的 172.16.10.0 网 络 ， 它 被 列 出 了 两 


， 00:00:19，Serial0/1/0 
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次 , 一 次 是 以 /16 的 形式 ， 一 次 是 以 /24 的 形式 。 其 中 的 一 个 被 指示 为 静态 路 由 ， 而 另 一 个 则 表明 是 由 
RIP 注入 的 路 由 。 在 这 个 表 中 该 路 由 不 应 该 出 现 两 次 ， 特 别 是 带 有 [150/0] 的 静态 路 由 ， 因 为 它 具 有 
更 大 的 管理 距离 。 
下 面 来 看 一 下 R2 的 路 由 选择 表 : 
10.0.0.0/24 is subnetted, 5 subnets 
R 10.1.1.0 [120/1] via 10.1.4.1, 00:00:21, Serial0/0/0 
R 10.1.2.0 [120/1] via 10.1.4.1, 00:00:21, Seria10/0/0 
R 10.1.3.0 [120/1] via 10.1.4.1, 00:00:21, Serial0/0/0 
C 10.1.4.0 is directly connected, Serial0/0/0 
R 10.1.5.0 [120/1] via 10.1.4.1, 00:00:21, Serial0/0/0 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
R 172.16.0.0/16 [120/2] via 10.1.4.1, 00:00:21, Serial0/0/0 
S 172.16.10.0/24 [150/0] via 10.1.4.1 
R 192.168.10.0/24 [120/2] via 10.1.4.1, 00:00:21, Serial0/0/0 
R 192.168.20.0/24 [120/2] via 10.1.4.1, 00:00:21, Serial0/0/0 
C 192.168.30.0/24 is directly connected, FastEthernet0/0 
C 192.168.40.0/24 is directly connected, FastEthernet0/1 


注意 同样 的 问题 。RIPv1 不 能 用 于 不 连续 的 网 络 , 这 里 出 现 的 问题 正 说 明了 这 一 点 。 记 住 这 一 点 ， 
本 章 后 面 将 说 明 发 生 这 一 问题 的 原因 ， 并 且 将 在 第 9 章 介绍 如 何 解决 这 个 问题 。 

可 见 ， 在 这 个 小 型 的 互联 网 络 中 ，RIP 是 可 以 正常 工作 的 ， 但 这 并 不 说 明 它 是 每 个 企业 应 用 可 行 
的 解决 方案 ， 因 为 这 一 技术 所 允许 的 最 大 跳 计 数 仅 为 15 (而 16 跳 就 会 被 认为 是 不 可 达 的 )。 此 外 , 它 
还 需要 每 30 秒 对 整个 路 由 选择 表 进行 一 次 更 新 ， 对 于 大 型 的 互联 网 络 来 说 这 几乎 就 是 一 个 令 人 不 可 
接受 的 灾难 ! 

关于 RIP 路 由 选择 表 和 用 于 通告 远程 网 络 的 参数 ， 还 有 一 件 事情 需要 说 明 。 这 里 以 另 一 个 网 络 中 
的 某 路 由 器 为 例 。 注 意 ， 在 下 面 的 路 由 选择 表 中 网 络 10.1.3.0 的 量度 为 [120/15] 。 也 就 是 说 ,该 路 由 
的 管理 距离 为 120， 即 RIP 的 默认 值 ， 而 它 的 跳 计数 却 为 15。 记 住 , 每 当 路 由 器 向 它 相 邻 的 路 由 器 发 
送 一 个 更 新 时 ， 它 都 会 为 每 个 路 由 的 跳 计数 加 上 1。 

Router#sh ip route 

10.0.0.0/24 is subnetted, 12 subnets 


C 10.1.11.0 is directly connected, FastEthernet0/1 

C 10.1.10.0 is directly connected, FastEthernet0/0 

R 10.1.9.0 [120/2] via 10.1.5.1, 00:00:15, Seriai0/0/1 

R 10.1.8.0 [120/2] via 10.1.5.1, 00:00:15, Serial0/0/1 

R 10.1.12.0 [120/1] via 10.1.11.2, 00:00:00, FastEthernet0/1 
R 10.1.3.0 [120/15] via 10.1.5.1, 00:00:15, Serial0/0/1 

R 10.1.2.0 [120/1] via 10.1.5.1, 00:00:15, Serial0/0/1 

R 10.1.1.0 [120/1] via 10.1.5.1, 00:00:15, Seria1i0/0/1 

R 10.1.7.0 [120/2] via 10.1.5.1, 00:00:15, Serial0/0/1 
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R 10.1.6.0 [120/2] via 10.1.5.1, 00:00:;15, Serial0/0/1 
C 10.1.5.0 is directly connected, Serial0/0/1 
R 10.1.4.0 [120/1] via 10.1.5.1, 00:00:15, Serial0/0/1 


可 见 这 个 [120/15] 实 际 上 是 不 需要 再 传播 的 ， 因 为 对 于 下 一 个 接收 这 个 来 自 路 由 器 R3 的 路 由 选 
择 表 的 路 由 器 来 说 , 它 将 会 忽略 这 个 通 往 网 络 10.1.3.0 的 路 由 ， 因 为 这 个 跳 计数 在 那 时 将 会 是 16， 这 
是 一 个 无 效 的 数值 。 


当 某 个 路 由 器 收 到 一 个 路 由 更 新 ， 且 这 一 路 由 更 新 描述 的 路 径 开销 比 原 路 由 选 
注意 ” 择 表 中 路 由 路 径 的 开销 更 高 ， 那 么 这 样 的 更 新 将 会 被 忽略 。 


8.6.4 配置 RIP 路 由 选择 示例 2 
在 对 RIP 配置 展开 更 加 深入 地 学 习 之 前 , 我 们 先 来 讨论 一 下 图 8-17 中 的 网 络 。 在 这 个 示例 中 , 我 
们 将 首先 了 解 并 完成 对 子 网 的 划分 ， 然 后 在 路 由 器 上 进行 RIP 的 配置 。 


s0/0 (DCE) 
2 s0/0 


图 8-17 RIP 路 由 选择 示例 2 


在 这 个 配置 示例 中 ， 我 们 将 假定 已 经 完成 了 对 Lab B 和 Lab_C 路 由 器 的 配置 ， 而 只 需要 配置 
Lab A 路 由 器 。 可 以 用 于 配置 的 网 络 ID 是 192.168.164.0/28。Lab A 的 s0/0 接口 将 使 用 第 八 个 子 网 
中 的 最 后 一 个 可 用 IP 地 址 ， 而 fa0/0 接口 将 使 用 第 二 个 子 网 中 的 最 后 一 个 可 用 PP 地址。 子 网 0 将 被 
视 为 不 合法 。 

在 开始 进行 配置 之 前 ， 我 们 应 该 知道 /28 其 实 就 是 子 网 掩 码 255.255.255.240， 并 且 在 第 四 个 八 位 
位 组 中 它 用 于 分 块 的 大 小 是 16。 掌 握 这 些 内 容 是 非常 重要 的 ,如 果 对 这 些 内 容 还 感到 困惑 ， 那 么 就 非 
常 需 要 回 到 第 3 章 和 第 4 章 进行 一 次 必要 的 复习 ! 重 温 子 网 划分 绝对 是 有 益 而 无 害 的 。 

由 于 块 大 小 为 16, 可 以 得 到 的 子 网 将 是 16( 注意 , 在 这 个 示例 中 第 一 个 子 网 并 不 是 子 网 0 )、32、 
48、64、80、96、112、128、144 等 。 其 中 ， 第 八 个 子 网 (就 是 那个 s0/0 接口 所 在 的 子 网 ) 是 128 
子 网 。128 子 网 的 合法 主机 地 址 范围 是 129~142， 而 143 是 128 子 网 的 广播 地 址 。 第 二 子 网 ( 就 是 
那个 fa0/0 接口 所 在 的 子 网 ) 是 32 子 网 。 它 的 合法 主机 地 址 范围 是 33 一 46， 而 47 是 32 子 网 的 广播 
地 址 。 

这 样 ， 在 Lab A 路 由 器 上 进行 的 配置 如 下 : 
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Lab A(config)#interface s0/0 

Lab_A(config-if)#ip address 192.168.164.142 255.255.255.240 
Lab_ACconfig-if)#no shutdown 

Lab_ACconfig-if)#interface fa0/0 

Lab ACconfig-if)#ip address 192.168.164.46 255.255.255.240 
Lab_A(config-if)#no shutdown 

Lab _ ACconfig-if)#router rip 

Lab_A(config-router)#network 192.168.164.0 

Lab _A(Cconfig-router )#^Z 

Lab_A# 


找 出 需要 配置 的 子 网 并 完成 使 用 最 后 一 个 合法 主机 地 址 的 配置 是 一 件 相当 简单 的 过 程 。 如 果 还 不 
能 轻松 完成 这 一 切 , 那么 就 需要 回 过 头 去 复习 一 下 第 4 章 中 的 相关 内 容 。 这 里 希望 你 能 够 真正 注意 到 ， 
在 此 配置 中 虽然 给 Lab_A 路 由 器 添加 了 两 个 子 网 , 但 在 RIP 的 配置 中 却 只 有 一 个 网 络 声明 。 有 时 会 很 
难 记 住 有 类 网 络 声明 的 配置 方式 ， 其 实 就 是 将 所 有 的 主机 位 都 置 0。 

注意 这 里 给 出 第 二 个 RIP 配置 示例 的 真实 用 意 , 就 是 要 帮助 你 回顾 有 关 有 类 网 络 的 编 址 方式 。 并 
且 还 要 注意 ， 练 习 子 网 划分 绝对 是 有 益 无 害 的 。 


8.6.5 抑制 RiP 传播 


在 LAN 和 WAN 上 广泛 传播 RIP 网 络 通告 信息 可 能 并 不 是 你 所 希望 的 。 同样 , 将 RIP 网 络 信息 传 
播 到 因特网 上 也 不 会 有 多 少 好 处 。 

这 里 有 几 种 可 以 用 于 限制 RIP 更 新 在 LAN 和 WAN 中 不 必要 扩散 的 方式 ,其 中 最 为 简易 的 方式 就 
是 使 用 passive-interface 命令 。 这 个 命令 可 以 在 指定 的 接口 上 阻止 RP 更 新 的 对 外 广播 ， 同 时 又 
不 影响 该 接口 对 RIP 更 新 的 接收 。 : 

下 面 就 是 一 个 在 路 由 器 上 通过 CLI 配置 passive-interface 的 示例 : 

Lab_A#config t 

Lab_ACconfig)#router rip 

Lab_A(config-router)#network 192.168.10.0 

Lab_A(config-router)#passive-interface serial 0/0 


这 个 命令 将 阻止 串 行 接口 0/0 向 外 传播 RIP 更 新 , 但 它 并 不 阻止 串 行 接口 0/0 对 RIP 更 新 的 接收 。 
8.6.6 RIPv2 


在 进入 第 9 章 之 前 , 虽然 还 不 能 解 开 在 Corp 和 R2 路 由 器 的 路 由 选择 表 中 出 现 对 同 -一 个 网 络 保持 
两 个 路 由 的 迷 团 ， 本 节 将 包含 相应 的 解答 ， 我 们 仍 将 会 把 R3 上 的 路 由 通告 给 此 互联 网 络 上 的 其 他 路 
由 器 。 下 面 先 花 一 点 时 间 讨 论 一 下 RIPv2。 
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在 一 个 互联 网 络 中 我 们 真正 需要 使 用 RIP 吗 ? 


假设 你 被 聘 为 顾问 ， 负 责 为 菜 个 规模 不 断 扩 大 的 网 络 安装 多 个 思科 路 由 器 。 在 这 个 网 络 中 有 
几 个 老式 的 Unix 路 由 器 仍然 需要 保留 。 这 些 路 由 器 除 RIP 之 外 不 支持 任何 其 他 的 路 由 选择 协议 。 
我 猜 这 也 就 意味 着 你 只 能 在 整个 网 络 中 使 用 RIP。 

当然 ， 事情 也 不 是 只 能 这 样 。 你 完全 不 需要 在 整个 网 络 上 都 运行 RIP, 而 只 需要 在 菜 个 连接 
老式 网 络 的 路 由 器 上 运行 RIP! 

你 可 以 进行 一 种 称 为 再 分 配 的 转换 ， 基 本 上 就 是 将 路 由 选择 协议 从 一 种 转换 为 另 一 种 。 也 就 
是 说 ,你 可 以 用 RIP 支持 那些 老式 路 由 器 ,而 对 于 网 络 的 其 他 部 分 使 用 更 好 的 协议 , 例如 增强 的 
IGRP。 

这 样 就 可 以 阻止 RIP 路 由 被 发 送 到 整个 互联 网 络 的 所 有 位 置 ， 从 而 节省 宝 下 的 网 络 带宽 。 


RIP 版 本 2 与 版 本 1 是 基本 相同 的 。 RIPv1 和 RIPv2 都 属于 距离 矢量 协议 , 也 就 是 说 每 个 运行 RIP 
的 路 由 器 都 将 定期 从 所 有 激活 的 接口 发 送 其 完整 的 路 由 选择 表 。 此 外 ， 两 个 版 本 的 RIP 都 具有 相同 的 
定时 器 和 环 路 避免 方案 ( 例如 保持 失效 定时 器 和 水 平分 割 规则 )。 RIPv1 和 RIPv2 都 可 以 被 配置 为 使 用 
有 类 的 寻 址 方式 (但 是 由 于 RIPv2 的 子 网 信息 是 随 路 由 更 新 一 同 发 送 的 ， 因 此 它 被 认为 是 无 类 的 )， 
并 且 两 者 有 相同 的 管理 距离 ( 120 )。 

但 是 它们 之 间 存 在 的 一 些 重要 区 别 使 得 RIPv2 比 RIPv1 具有 更 好 的 可 扩展 性 。 在 继续 讨论 之 前 ， 
我 想 给 出 一 句 忠 告 : 在 网 络 配置 中 ， 不 管 是 哪个 版 本 的 RIP， 我 都 不 推荐 使 用 。 由 于 RIP 是 一 个 开放 
的 标准 ， 它 可 以 用 于 任意 品牌 的 路 由 器 。 但 是 需要 注意 的 是 OSPF ( 将 在 第 9 章 中 讨论 ) 也 是 一 个 开 
放 的 标准 ， 所 以 在 相同 的 情况 下 你 同样 可 以 选择 OSPF。 使 用 RIP 只 会 消耗 掉 网 络 中 更 多 的 带宽 ， 这 
在 具体 的 应 用 中 会 极 大 地 影响 网 络 性 能 。 当 你 有 其 他 更 好 的 可 用 选项 ， 为 什么 还 要 坚持 不 甚 理想 的 选 
择 呢 ? 

表 8-3 给 出 了 RIPv1 和 RIPv2 之 间 的 区 别 。 


表 8-3 ”RIPv1 与 RIPv2 


RIPv1 RIPv2 
距离 矢量 用 离 矢量 
最 大 跳 计数 是 15 最 大 跳 计 数 是 15 
有 类 的 无 类 的 
基于 广播 的 使 用 组 播 224.0.0.9 
不 支持 VLSM 支持 VLSM 
无 认证 允许 MD5 认 证 
不 支持 不 连续 网 络 支持 不 连续 网 络 


与 RIPvl 不 同 , RIPv2 是 一 个 无 类 的 路 由 选择 协议 ( 虽然 它 也 可 以 像 RIPvl 一 样 被 配置 为 有 类 的 )， 
也 就 是 说 ，RIPv2 可 以 随 路 由 更 新 发 送 子 网 掩 码 的 信息 。 通 过 随 更 新 发 送 子 网 掩 码 的 信息 ，RIPv2 能 
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够 支持 VLSM ( Variable Length Subnet Mask， 变 长 子 网 掩 码 ) 以 及 网 络 边界 汇总 ， 而 在 我 们 当前 的 网 
络 设计 中 ， 使 用 它 有 时 会 带 来 更 多 不 便 。 此 外 ，RIPv2 还 可 以 支持 不 连续 的 网 络 划分 ， 这 一 内 容 将 在 
第 9 章 详细 讨论 ， 同 时 第 9 章 也 将 给 出 化 解 路 由 选择 表 困 惑 的 最 终 解决 方案 。 

配置 RIPv2 是 一 个 相当 简单 的 过 程 。 这 里 就 给 出 一 个 示例 : 

Lab_CCconfig)#router rip 

Lab_CCconfig-router)#network 192.168.40.0 

Lab_CCconfig-router)#network 192.168.50.0 

Lab CC(config-router)#version 2 


操作 就 是 这 样 ， 我 们 只 需要 在 (config- router)# 提 示 符 下 添加 命令 version 2， 然 后 运行 的 协 
议 就 是 RIPv2。 下 面 将 介绍 RIP 验证 命令 ， 然 后 这 个 互联 网 络 中 配置 RIPv2。 


RIPv2 是 无 类 的 ， 可 以 支持 VLSM 和 不 连续 网 络 。 
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一 旦 完成 对 路 由 器 的 配置 , 或 者 至 少 是 自 认 为 已 经 完成 了 相应 的 配置 ,那么 验证 就 是 一 件 非 常 重 
要 的 工作 。 下 面 给 出 了 在 思科 路 由 器 上 用 于 验证 已 经 配置 的 被 路 由 协议 和 路 由 选择 协议 的 命令 : 


D show ip route 
DD show ip protocols 
DD debug ip rip 


这 里 的 第 一 个 命令 已 经 在 前 面 的 单元 中 介绍 过 了 ， 所 以 下 面 的 单元 将 只 讨论 后 面 的 两 个 命令 。 
8.7.1 show ip protocols 


命令 show ip protocols 可 以 显示 在 路 由 器 上 已 配置 的 路 由 选择 协议 。 由 下 面 的 输出 可 以 了 解 
到 ， 路 由 器 正在 运行 的 是 RIP 协议 ， 我 们 还 可 以 看 到 RIP 使 用 的 多 个 定时 器 : 

Corp#sh ip protoco1s 

Routing Protocol is "rip" 

Sending updates every 30 seconds, next due in 23 seconds 

Invalid after 180 seconds, hold down 180, flushed after 240 

Outgoing update filter jjst for al] interfaces js not set 

Incoming update filter list for all interfaces is not set 

Redistributing: rip 


Default version control: send version 1, receive any version 


Interface Send Recv Triggered RIP Key-chain 
Vlanl 1 21 
FastEthernet0/0 1 2 工 


Serial0/0/0 1 21 
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Serial0/0/1 i 21 
Serial0/1/0 1 21 
Automatic network summarization is in effect 
Maximum path: 4 
Routing for Networks: 
10.0.0.0 
Passive linterface(s): 
Routing Information Sources: 


Gateway Distance Last Update 
10.1.5.2 120 00:00:28 
10.1.2.2 120 00:00:21 
10.1.3.2 120 00:00:21 
10.1.4.2 120 00:00:12 


Distance: (default is 120) 


注意 在 这 个 输出 中 RIP 是 每 30 秒 发 送 一 次 更 新 ， 即 使 用 默认 设置 。 同 时 这 里 也 给 出 了 其 他 用 于 
距离 矢量 的 定时 器 。 

再 往 下 可 以 看 到 ， 对 于 那些 直接 相连 的 接口 /0、s0/0/0、s0/0/1 和 sO/L0 都 是 由 RIP 进行 的 路 由 
选择 。 在 这 些 接口 的 右 侧 列 出 了 用 于 发 送 和 接收 的 协议 版 本 号 ， 分 别 为 RIPv1 和 RIPv2。 这 部 分 的 内 
容 对 于 排 错 非 常 重要 。 如 何 需 要 配置 的 接口 没有 在 这 个 部 分 中 列 出 ,那么 将 不 能 为 接口 输入 正确 的 网 
络 描述 ， 网 络 描述 信息 将 会 出 现在 Routing for Networks 标题 栏 下 方 。 

在 Gateway 标题 栏 下 是 RIP 所 找到 的 相 邻 设备 ， 它 的 后 面 是 RIP 的 默认 AD ( 120 )。 

使 用 show ip protoco1s 命令 排 错 

下 面 对 一 个 示例 路 由 器 使 用 show ip protocols 命令 ， 通 过 查看 另 一 网 络 中 某 路 由 器 的 输出 ， 
看 看 我 们 可 以 从 中 推断 出 些 什么 : 


Router#sh ip protocols 

Routing Protocol] is "rip" 
Sending updates every 30 seconds, next due in 6 seconds 
Invalid after 180 seconds, hold down 180, flushed afteR340 
Outgoing update filter list for all interfaces is 
Incoming update filter list for all interfaces is 
Redistributing: rip | 
Default version contro1: send version 1, receive any version 


Interface Send Recv Key-chain 
Serial0/0 1 12 
Serial0/1 1 12 
Routing for Networks: 
10.0.0.0 
Routing Information Sources: 
Gateway Distance Last Update 
10.168.11.14 120 00:00:21 


Distance: (default is 120) 
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在 同一 路 由 器 上 使 用 show ip interface brief 命令 ， 看 从 中 又 能 发 现 些 什么 : 


Router#sh ip interface brief 


Interface IP-Address OK? Method Status 

FastEthernet0/0 192.168.18.1 YES manual] up 

Serial0/0 10.168.11.17 YES manual up 

FastEthernet0/1 unassigned YES NRAM Administratively down 
Serial0/1 192.168.11.21 YES manual up 


根据 show ip protoco1s 的 输出 ， 我 们 可 以 看 出 在 网 络 10.0.0.0 上 正在 使 用 的 路 由 选择 是 RIP， 
也 就 是 说 配置 可 能 是 这 样 的 : 


Router(Cconfig)#router rip 
Router(config-router)#network 10.0.0.0 


可 以 看 出 ， 只 有 串 行 接口 0/0 和 0/1 参与 了 此 RIP 网 络 。 并 且 由 最 后 部 分 可 以 知道 相 邻 的 路 由 器 
是 10.168.11.14。 

从 show ip interface brief 命令 的 输出 中 ， 我 们 可 以 了 解 到 10.0.0.0 网 络 中 只 包含 串 行 接口 
0/0。 这 表明 这 个 路 由 器 只 使 用 10.0.0.0 网 络 发 送 并 接收 路 由 选择 的 更 新 ， 而 并 不 通过 任 一 接口 将 通告 


发 往 192.168.0.0 网 络 。 要 修正 这 一 问题 ， 我 们 需要 在 router _ rip 这 一 全 局 命令 下 添加 192.168.11.0 
和 192.168.18.0 网 络 。 


8.7.2 debug ip rip 


命令 debug ip rip 可 以 将 路 由 器 上 正在 发 送 和 接收 的 路 由 更 新 显示 到 控制 台 会 话 中 。 如 果 到 
路 由 器 的 连接 是 通过 远程 登录 建立 的 ， 则 我 们 需要 使 用 terminal monitor 命令 接收 debug 命令 的 
输出 。 


在 下 面 的 输出 中 可 以 看 到 ，RIP 既 发 送 又 接收 (注意 这 里 的 度量 标准 是 跳 计数 ): 


R3#debug ip rip 

RIP protocol debugging is on 

RIP: received v1 update from 10.1.5.1 on FastEthernet0/0 
10.1.1.0 in 1 hops 
10.1.2.0 in 1 hops 
10.1.3.0 in 1 hops 
10.1.4.0 in 1 hops 
192.168.10.0 in 2 hops 
192 .168.20.0 in 2 hops 
192.168.30.0 in 2 hops 
192.168.40.0 in 2 hops 


RIP: sending v1 update to 255.255.255.255 via DotiiRadio0/0/0(172.16.10.1) 
RIP: build update entries 
network 10.0.0.0 metric 1 
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network 192.168.10.0 metric 3 
network 192.168.20.0 metric 3 
network 192.168.30.0 metric 3 
network 192.168.40.0 metric 3 


RIP: sending v1 update to 255.255.255.255 via FastEthernet0/0 (10.1.5.2) 
RIP: build update entries 
network 172.16.0.0 metric 1) 

下 面 对 这 个 输出 进行 一 下 讨论 。 首 先 ，R3 接收 到 Corp 路 由 器 拥有 的 全 部 路 由 ， 然 后 RIP 从 接口 
Dotl1Radio0/0/0/0 通过 172.16.10.1 发 送 v1 格式 的 分 组 到 255.255.255.255， 即 一 个 全 1 的 广播 。 在 这 
里 使 用 RIPv2 将 会 更 好 。 为 什么 ”因为 RIPv2 不 会 发 送 广播 数据 ， 它 使 用 的 是 224.0.0.9 组 播 。 这 样 即 
使 将 RIP 分 组 可 传送 到 一 个 没有 路 由 器 的 网 络 上 , 那里 所 有 的 主机 也 都 会 忽略 这 一 数据 ， 这 一 点 也 使 
得 RIPv2 在 某 些 方面 要 优 于 RIPv1。 

好 , 在 这 里 可 以 了 解 到 这 样 一 个 事实 , RIP 将 通过 Dot11Radio0/0/0/0 发 送出 到 达 所 有 网 络 的 通告 ， 
而 在 R3 上 由 FastEthernet 0/0 送出 的 最 后 的 通告 中 只 包含 到 达 172.16.0.0 的 内 容 。 为 什么 会 这 样 ? 
如 果 你 的 答案 是 因为 水 平分 割 的 规则 ， 那 么 你 已 经 掌握 了 相关 的 内 容 ! 在 本 示例 中 ，R3 路 由 器 不 会 
把 接收 自 相 邻 路 由 器 的 那些 网 络 路 由 再 返回 给 同一 路 由 器 的 。 


如 果 某 个 路 由 的 度量 值 显示 为 16， 这 就 是 一 个 路 由 中 毒 ， 并 且 这 -网络 将 被 通 
注意 。 告 为 不 可 达 。 


使 用 debug ip rip 命令 排 错 
下 面 将 在 一 个 来 自 不 同 示例 网 络 的 路 由 器 上 使 用 debug ip rip 命令 ， 党 试 发 现 问题 并 推导 出 其 
RIP 的 配置 方式 : 

07:12:58: RIP: sending v1 update to 255.255.255.255 via 
FastEthernet0/0 (172.16.1.1) 

07:12:58: network 10.0.0.0, metric 1 

07:12:58: network 192.168.1.0, metric 2 

07:12:58: RIP: sending v1 update to 255.255.255.255 via 
Serial0/0 (10.0.8.1) 

07:12:58: network 172.16.0.0, metric 1 

07:12:58: RIP: Received v1 update from 10.0.15.2 n Serial0/0 

07:12:58: 192.168.1.0 in one hop 

07:12:58: 192.168.168.0 in 16 hops (inaccessible) 


从 这 个 更 新 中 可 以 看 出 , 正在 被 送出 的 信息 是 关于 网 络 10.0.0.0、192.168.1.0 和 172.16.0.0 的 。 其 
中 10.0.0.0 网 络 和 172.16.0.0 网 络 都 被 通告 跳 计数 (度量 值 ) 为 !， 表 明 与 这 些 网 络 都 是 直接 相连 的 。 
192.168.1.0 的 度量 被 通告 为 2， 也 就 是 说 它 没 有 直接 相连 。 

对 于 这 样 的 结果 ， 所 完成 的 配置 应 该 是 这 样 的 : 
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Router(Cconfig)#router rip 

Router(config-router)#network 10.0.0,0 

Router(Cconfig-router)#network 172.16.0.0 

通过 仔细 查看 这 一 输出 ， 我 们 应 该 还 可 以 了 解 到 一 些 情况 : 在 这 个 RIP 网 络 中 至 少 包含 了 两 个 路 
由 器 ， 因 为 在 这 里 发 送 路 由 更 新 的 接口 是 两 个 ， 而 接收 到 RIP 更 新 的 接口 只 有 一 个 。 此 外 ， 还 应 该 注 
意 到 ， 网 络 192.168.168.0 被 通告 为 具有 16 跳 的 距离 。RIP 的 最 大 跳 计 数 是 15， 而 16 被 认为 是 不 可 达 
的 ， 这 表明 这 个 网 络 是 不 可 访问 的 。 因 此 ， 如 果 尝 试 对 网 络 192.168.168.0 中 的 主机 执行 ping 操作 ， 
那么 会 有 什么 结果 呢 ? 这 一 操作 不 可 能 成 功 ! 而 如 果 尝 试 对 网 络 10.0.0.0 中 的 任 一 主机 执行 ping 操作 ， 
那么 就 不 会 有 同样 的 问题 。 

下 面 还 有 一 个 希望 你 能 感 兴趣 的 输出 ， 请 你 看 一 下 自己 是 否 能 够 发 现 其 中 的 问题 。 这 里 有 一 个 来 
自 示 例 路 由 器 上 的 debug ip rip 和 show ip route 的 输出 : 

07:12:56: RIP: received v1 update from 172.16.100.2 on Serial0/0 

07:12:56: 

07:12:56: 

07:12:56: 


172.16.10.0 in 1 hops 
172.16.20.0 in 1 hops 
172.16.30.0 in 1 hops 


Router#sh ip route 
[output cut] 
Gateway of last resort is not set 


172 . 
172 . 
172 . 
172 . 
172. 
172. 
172 . 
172 . 
R 172. 


mm 太太 五 站 六 


16 


16 . 
16 . 
16. 


16 


16. 
16. 
16. 
16. 


.0.0/24 is subnetted, 8 subnets 

150.0 is directly connected, FastEthernet0/0 

220.0 is directly connected, Loopback2 

210.0 js directly connected, Loopbackl 

.200.0 is directly connected, Loopback0 

30.0 [120/2] via 172.16.100.2，00:00:04，Serial0/0 
20.0 [120/2] via 172.16.150.15 

10.0 [120/2] via 172.16.100.2，00:00:04，Seria10/0 
100.0 [120/2] is directly connected, Serial0/0 


仔细 查看 一 下 上 面 给 出 的 两 个 输出 , 看 自己 是 否 能 解释 为 什么 这 里 的 用 户 不 能 访问 172.16.20.0? 

调试 输出 显示 网 络 172.16.20.0 只 有 一 跳 的 距离 ,并 且 这 一 路 由 由 seria1 0/0 接 收 自 172.16.100.2。 
在 show ip route 的 输出 中 ， 我 们 看 到 目的 方 为 172.16.20.0 的 分 组 将 会 被 发 送 到 172.16.150.15 处 ， 
注意 这 是 一 个 静态 的 路 由 。 这 个 输出 还 表明 ，172.16 .150.0 是 与 FastEthernet0/0 直接 相连 接 的 , 但 
是 网 络 172.16.20.0 应 该 位 于 seria10/0 一 侧 ， 因 此 ， 由 于 一 个 错误 配置 的 静态 路 由 ， 凡 是 目的 方 指 
向 172.16.20.0 的 分 组 都 将 会 由 错误 的 接口 发 送出 去 。 


8.7.3 在 互联 网 络 上 启用 RIPv2 


在 学 习 第 9 章 的 内 容 并 完成 对 EIGRP 和 OSPF 配置 之 前 ， 我 想 在 路 由 器 上 启用 RIPv2。 这 只 需要 
一 点 点 的 时 间 ， 下 面 就 是 我 进行 的 配置 : 
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Corp#config 七 
Corp(config)#router rip 
Corp(Cconfig-router)#version 2 
Corp(config-router)#^Z 


Ri#config 七 
RliCconfig)#router rip 
RiCconfig-router)#version 2 
R1Cconfig-router)#^Z 


R2#config t 

Enter configuration commands, one per line. End with CNTL/Z. 
R2Cconfig)#router rip 

R2Cconfig-router)#version 2 

R2Cconfig-router)#^Z 


R3#config t 
R3#Cconfig)#router rip 
R3#(Cconfig-router)#version 2 
R3#(Config-router )#^Z 


这 一 部 分 可 能 是 本 书 中 目前 为 止 进行 的 最 简单 配置 。 来 看 一 下 ,这 个 路 由 选择 表 中 是 否 有 什么 与 
前 面 的 路 由 选择 表 不 同 。 下 面 是 Corp 路 由 器 上 当前 路 由 选择 表 的 内 容 : 
10.0.0.0/24 is subnetted, 5 subnets 
10.1.1.0 is directly connected, Vlanl 
10.1.2.0 is directly connected, Serial0/0/0 
10.1.3.0 is directly connected, Serial0/0/1 
10.1.4.0 is directly connected, Serial0/1/0 
10.1,5.0 is directly connected, FastEthernet0/0 
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
R 172.16.0.0/16 [120/1] via 10.1.5.2, 00:00:18, FastEthernet0/0 
S 172.16.10.0/24 [150/0] via 10.1.5.2 
R 192.168.10.0/24 [120/1] via 10.1.2.2, 00:00:04,，Serial10/0/0 
[120/1] via 10.1.3.2, 00:00:04,Serial0/0/1 
R 192.168.20.0/24 [120/1] via 10.1.2.2, 00:00:04,Serial0/0/0- 
2， 
2， 
2， 


站 站 站 六 


[120/1] via 10.1.3. 00:00:04，Serial0/0/1 
R 192.168.30.0/24 [120/1] via 10.1.4. 00:00:06，Serial0/1/0 
R 192.168.40.0/24 [120/1] via 10.1.4. 00:00:06，Serial0/1/0 
Corp# 


很 好 , 在 我 看 来 一 切 都 是 相同 的 , 而 且 它 也 没有 修复 对 于 172.16.0.0 网 络 给 出 双 路 由 表 项 的 问题 。 
下 面 将 运行 debug 操作 ， 看 看 是 否 能 看 到 新 的 内 容 : 
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Corp#debug ip rip 
RIP protocol debugging is on 
Corp#RIP: sending v2 update to 224.0.0.9 via Vilanl (10.1.1.1) 


RIP: build update entries 
10.1.2.0/24 via 0.0.0. 
10.1.3.0/24 via 0.0.0. 
10.1.4.0/24 via 0.0.0.0, metric 1, tag 0 
10.1.5.0/24 via 0.0.0.0, metric 1, tag 0 


0.0, metric 1, tag 0 

0 

0 

0 
172.16.0.0/16 via 0.0.0.0, metric 2, tag 0 

0 

0 

0 

0 


metric 1, tag 0 


Oo 


192.168.10.0/24 via 0.0.0.0, metric 2, tag 0 
192.168.20.0/24 via 0.0.0.0, metric 2, tag 0 
192.168.30.0/24 via 0.0.0.0, metric 2, tag 0 
192.168.40.0/24 via 0.0.0.0, metric 2, tag 0 


RIP: sending v2 update to 224.0.0.9 via FastEthernet0/0 (10.1.5.1) 
[output cut] 


太 好 了 1 注意 这 里 ! 这 些 网 络 仍然 是 每 30 秒 接收 一 次 通告 ， 但 现在 在 发 送 通告 v2， 并 且 使 用 的 
是 组 播 方 式 ， 其 地 址 为 224.0.0.9。 再 来 看 一 下 show ip protocols 的 输出 : 

Corp#sh ip protocols 国 

Routing Protocol is "rip" 

Sending updates every 30 seconds, next due in 20 seconds 

Invalid after 180 seconds, hold down 180, flushed after 240 

Outgoing update filter 1ist for aill interfaces is not set 

Incoming update filter list for all interfaces is not set 

Redistributing: rip 

Default version control: send version 2, receive 2 


Interface Send Recv Triggered RIP Key-chain 
Vilanl 2 2 
FastEthernet0/0 2 2 
Serial0/0/0 2 2 
Serial0/0/1 2 2 
Serial0/1/0 2 2 


Automatic network summarization is in effect 
Maximum path: 4 
Routing for Networks : 
10.0.0.0 
Passive Interface(s): 
Routing Information Sources: 
Gateway Distance Last Update 
10.1.5.2 120 00:00:09 
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10.1.2.2 120 00:00:20 
10.1.3.2 120 00:00:20 
10.1.4.2 120 00:00:23 


Distance: (default is 120). 


现在 这 里 发 送 和 接收 的 更 新 都 是 RIPv2。 当 所 有 事情 都 在 正常 时 感觉 一 定 很 好 ， 不 是 吗 ? 但 是 ， 
目前 为 止 我 仍然 没有 能 修复 在 Corp 和 R2 路 由 选择 表 中 关于 172.16.0.0 网 络 的 双 路 由 问题 ， 尽 管 可 以 
通过 附加 一 个 配置 项 使 用 RIPv2， 但 我 希望 使 用 同样 的 示例 来 看 一 下 EIGRP 的 情况 。 注 意 ， 表 8-3 已 
经 给 出 了 对 这 一 问题 的 解释 。 

使 用 RIP 通告 默认 路 由 

下 面 介绍 如 何 将 进出 自治 系统 的 连接 通告 出 去 。 假 设 你 正在 看 我 们 的 网 络 结构 图 ， 并 且 想 将 图 中 
连接 到 R3 的 无 线 网 络 换 掉 ， 我 们 可 在 R3 上 使 用 并 配置 一 个 串 行 接口 ， 将 这 个 小 型 的 互联 网 络 通过 
R3 连接 到 因特网 上 。 

如 果 我 们 将 R3 连接 到 因特网 上 ,那么 这 个 As 中 的 所 有 路 由 器 都 需要 知道 应 该 将 指向 因特网 的 分 
组 发 往 哪 里 ， 否 则 这 些 路 由 器 会 在 接收 到 一 个 带 有 远程 请 求 的 分 组 时 将 这 些 要 发 送 的 分 组 丢弃 。 一 个 
可 行 的 解决 方案 就 是 在 每 台 路 由 器 上 都 配置 一 个 默认 路 由 ,将 这 些 数据 通过 R3 进行 中 转 ， 依 次 使 用 
默认 路 由 到 达 ISP。 在 中 小 型 网 络 中 多 数 人 会 采用 这 种 配置 。 

然而 ， 目 前 这 里 的 所 有 路 由 器 包括 R3 都 在 运行 REPv2， 因 此 这 里 只 需 在 R3 上 添加 一 个 到 ISP 的 
默认 路 由 (这 也 正 是 我 通常 的 做 法 ), 然后 再 使 用 另外 一 个 命令 , 来 通告 AS 中 的 其 他 路 由 器 此 网 络 为 
默认 路 由 。 

下 面 就 是 在 R3 上 重新 进行 配置 的 示例 : 

R3(config)#interface s0/0 

R3(Cconfig-if)#ip address 172.16.10.5 255.255.255.252 

R3Cconfig-if)#exit 

R3Cconfig)#ip route 0.0.0.0 0.0.0.0 s0/0 

R3Cconfig)#ip default-network 172.16.0.0 


现在 ， 来 看 一 下 Corp 和 R2 上 路 由 选择 表 中 的 内 容 : 


Corp# 

10.0.0.0/24 is subnetted, 5 subnets 

C 10.1.1.0 is directly connected, Vilanl 

C 10.1.2.0 is directly connected, Serial10/0/0 

C 10.1.3.0 is directly connected, Serial0/0/1 

C 10.1.4.0 is directly connected, Serial0/1/0 

C 10.1.5.0 is directly connected, FastEthernet0/0 


172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
172.16.0.0/16 [120/1] via 10.1.5.2, 00:00:16, FastEthernet0/0 
S 172.16.10.0/24 [150/0] via 10.1.5.2 
R 192.168.10.0/24 [120/1] via 10.1.2.2, 00:00;16,Seria10/0/0 
[120/1] via 10.1.3.2, 00:00:16,Serial10/0/1 
R 192.168.20.0/24 [120/1] via 10.1.2.2, 00:00:16,，Serial10/0/0 
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[120/1] via 10.1.3.2，00:00:16，Serial0/O/IL 
R 192.168.30.0/24 [120/1] via 10.1.4.2, 00:00:02，Serial0/1/0 
R 192 .168.40.0/24 [120/1] via 10.1.4.2， 00:00:02，Serial0/1/0 
R* 0.0.0.0/0 [120/1] via 10.1.5.2, 00:00:16, FastEthernet0/0 
Corp# 
好 ， 看 一 下 最 后 一 项 : R3 正在 通告 Corp 路 由 器 “ 嗨 ,我 有 一 条 通 往 因 特 网 的 线路 !”， 即 “我 就 
是 进出 本 AS 的 道路 !” 下 面 来 看 一 下 在 R2 中 是 否 有 同样 的 内 容 : 
R2# 
10.0.0.0/24 is subnetted, 5 subnets 

R 10.1.1.0 [120/1] via 10.1.4.1, 00:00:29, Serial0/0/0 
R 10.1.2.0 [120/1] via 10.1.4.1, 00:00:29,，Seria10/0/0 
R 10.1.3.0 [120/1] via 10.1.4.1i, 00:00:29,，Serial0/0/0 
C 10.1.4.0 is directly connected, Serial0/0/0 
R 10.1.5.0 [120/1] via 10.1.4.1, 00:00:29, Serial0/0/0 

172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
R 172.16.0.0/16 [120/2] via 10.1.4.1, 00:00:29, Serial0/0/0 
S 172.16.10.0/24 [150/0] via 10.1.4.1 
R 192.168.10.0/24 [120/2] via 10.1.4.1, 00:00:29, Serial0/0/0 
R 192.168.20.0/24 [120/2] via 10.1.4.1, 00:00:29, Serial0/0/0 
C 192.168.30.0/24 is directly connected, FastEthernet0/0 
C 192.168.40.0/24 is directly connected, FastEthernet0/1 
R* 0.0.0.0/0 [120/2] via 10.1.4.1, 00:00:29, Serial0/0/0 


R2 的 输出 也 给 出 了 同样 的 内 容 ， 因 此 这 个 ip defau1t-network 命令 是 有 效 的 并 且 随 RIP 一 同 
工作 ， 需 要 说 明 的 是 ， 我 也 验证 了 R1 同样 可 以 接收 此 默认 路 由 。 这 个 命令 在 RIP 或 者 RIPv2 下 都 可 
以 正常 工作 。 

现在 你 已 经 完成 了 本 章 内 容 的 学 习 ， 可 以 开始 学 习 下 一 章 的 内 容 了 ! 


8.8 小 结 


本 章 对 IP 路 由 选择 进行 了 详细 讨论 。 真正 理 解 本 章 的 基础 性 内 容 是 非常 重要 的 , 因为 在 思科 路 由 
器 上 完成 的 操作 都 会 涉及 IP 路 由 选择 以 及 相关 的 配置 。 

本 章 主 要 介绍 了 琴 路 由 选择 如 何在 路 由 器 和 目的 主机 之 间 使 用 数据 辆 传递 分 组 。 在 这 之 后 , 我 们 
在 路 由 器 上 配置 了 静态 路 由 , 并 讨论 了 卫 用 于 判断 到 达 目 的 网 络 的 最 佳 路 由 的 管理 距离 。 对 于 存根 网 
络 ， 我 们 可 以 配置 默认 路 由 选择 ， 也 就 是 在 路 由 器 上 设置 最 终 网 关 。 

接 下 来 我 们 详细 讨论 了 动态 路 由 ， 特 别 是 RIP 以 及 它 在 互联 网 络 ( 并 非 全 部 网 络 ) 上 的 工作 方 
式 。 最 后 ,我 们 对 RIP 进行 了 验证 ， 并 将 RIPv2 应 用 到 了 小 型 网 络 中 ， 然 后 又 将 默认 路 由 通告 给 了 
整个 AS。 

在 下 一 章 中 ,我 们 将 通过 对 EIGRP 和 OSPF 的 讨论 继续 学 习 动 态 路 由 选择 。 
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8.9 考试 要 点 


描述 基本 的 IP 路 由 选择 过 程 。 需 要 记 住 的 是 ,数据 帧 在 每 一 跳 处 都 会 改变 ， 而 分 组 在 到 达 目 的 
设备 之 前 决 不 会 被 改变 或 以 任意 方式 操纵 。( 卫 头 部 的 TTL 字段 会 随 每 一 跳 递 减 ， 但 也 仅 限 于 此 ! ) 

列举 路 由 器 用 于 成 功 路 由 分 组 的 信息 。 为 了 能 够 完成 对 分 组 的 路 由 ， 路 由 器 至 少 需 要 了 解 目 的 地 
址 、 到 达 远 程 网 络 必须 经 由 的 相 邻 路 由 器 的 位 置 、 通 向 所 有 远程 网 络 的 可 用 路 由 、 到 达 每 个 远程 网 络 
的 最 佳 路 由 ， 以 及 维护 并 验证 路 由 选择 信息 的 方式 。 

描述 路 由 选择 过 程 中 使 用 MAC 地 址 被 使 用 的 方式 。MAC (硬件 ) 地 址 只 能 用 于 本 地 LAN。 它 决 
不 会 给 路 由 器 接口 传递 。 数 据 帧 使 用 MAC (硬件 ) 地 址 在 LAN 中 传送 分 组 。 数 据 帧 可 以 将 分 组 发 往 
本 地 LAN 中 的 一 台 主 机 或 者 是 某 台 路 由 器 的 接口 (如果 这 一 分 组 的 目的 方 是 远程 网 络 )。 当 分 组 在 路 
由 器 间 传 递 时 , 传递 过 程 中 使 用 的 MAC 地 址 将 不 断 改 变 ,而 分 组 中 原始 的 源 和 目的 IP 地 址 通常 不 会 
改变 。 

查看 并 解释 路 由 器 的 路 由 选择 表 。 查 看 路 由 选择 表 可 以 使 用 show ip route 命令 。 源 路 由 选择 
信息 及 其 对 应 的 每 一 路 由 都 将 被 显示 出 来 。 路 由 左 侧 的 C 表明 是 直接 连接 的 路 由 , 而 此 路 由 相 邻 的 其 
他 字母 可 用 来 指明 提供 此 路 由 信息 的 某 一 特定 路 由 选择 协议 , 例如 R 指明 提供 此 路 由 信息 的 路 由 选择 
协议 为 RIP。 

区 分 3 种 路 由 选择 。3 种 路 由 选择 是 静态 的 ( 是 指 那些 在 CLI 下 手工 配置 的 路 由 )、 动态 的 (是 指 
那些 由 路 由 器 通过 路 由 选择 协议 共享 路 由 选择 信息 形成 的 路 由 ) 和 默认 的 路 由 选择 ( 其 中 有 一 个 特定 
的 路 由 ， 是 为 那些 在 路 由 选择 表 中 不 能 找到 指定 目的 网 络 的 流量 配置 的 )。 

对 照 并 比较 静态 路 由 选择 和 动态 路 由 选择 。 静 态 路 由 选择 不 会 产生 路 由 选择 更 新 通信 量 ， 并 且 只 
在 路 由 器 和 网 络 链 路 上 形成 很 少 的 开销 ， 但 是 它 必 须 经 手工 配置 ， 并 且 不 能 对 链 路 的 中 断 作 出 响应 。 
动态 路 由 选择 需要 产生 路 由 选择 更 新 通信 量 ， 而 这 会 在 路 由 器 和 网 络 链 路 上 造成 更 多 的 开销 ,但 是 它 
可 以 对 链 路 的 中 断 作 出 响应 ， 并 且 当 对 同一 网 络 有 多 个 路 由 并 存 时 能 从 中 选 出 最 优 的 一 个 。 

在 CLI 下 配置 静态 路 由 。 添 加 路 由 的 命令 语法 是 ip route [destination_network] [mask] 
[next-hop_address or exitinterface] [administrative_distance] [permanent]。 

创建 默认 路 由 。 添 加 默认 路 由 可 以 使 用 的 命令 语法 是 ip route 0.0.0.0 0.0.0.0 ip-address 
or exit interface type and number。 

理解 管理 距离 以 及 它 对 于 选择 最 佳 路 由 的 作用 。 管 理 距离 ( AD ) 是 用 于 评估 某 台 路 由 器 上 接收 
到 的 、 来 自 相 邻 路 由 器 的 路 由 选择 信息 的 可 信和 度 的 指标 。 管 理 距 离 是 一 个 从 0 到 255 范围 内 的 整数 ， 
值 为 0 表示 最 可 信 ， 值 为 255 意味 着 没有 通信 量 会 通过 这 一 路 由 。 所 有 的 路 由 选择 协议 都 被 指定 了 一 
个 默认 的 AD， 但 是 这 一 值 可 以 在 CLI 下 修改 。 

区 分 距离 矢量 、 链 路 状态 和 混合 路 由 选择 协议 。 距 高 矢量 路 由 选择 协议 基于 跳 计数 ( 想象 一 下 
RIP 的 工作 过 程 ) 完成 路 由 选择 , 而 链 路 状态 路 由 选择 协议 在 选择 最 佳 路 由 时 还 能 够 考虑 更 多 的 因素 ， 
如 可 用 带宽 和 延 时 等 。 混 合 路 由 选择 协议 则 兼 具 了 前 面 两 种 路 由 选择 协议 的 特性 。 

列举 用 于 阻止 网 络 中 出 现 路 由 选择 环 路 的 机 制 。 在 阻止 出 现 路 由 环 路 的 操作 中 ,最 大 跳 计数 、 水 
平分 割 、 路 由 中 毒 以 及 保持 失效 定时 器 都 有 各 自 的 作用 。 

描述 在 使 用 RIP 时 使 用 的 各 种 计数 器 。 路 由 更 新 定时 器 给 出 了 两 次 路 由 选择 更 新 的 时 间 间 隔 , 路 
由 失效 定时 器 用 于 断定 在 认定 一 个 路 由 为 无 效 路 由 之 前 需要 等 待 的 时 长 ( 180 s )， 保 持 失 效 定时 器 用 
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于 设置 路 由 选择 信息 被 抑制 ( 当 一 个 链 路 不 可 达 时 ) 的 时 长 ， 而 路 由 刷新 定时 器 用 于 设置 某 个 路 由 被 
判定 无 效 到 将 它 被 从 路 由 选择 表 中 删除 之 间 的 时 间 间 隔 ( 240 s )。 

配置 RIP 路 由 选择 。 要 配置 RIP 路 由 选择 ,首先 我 们 必须 进入 全 局 配置 模式 ,然后 输入 命令 router 
rip。 接 着 添加 所 有 直接 连接 的 网 络 ， 并 且 确 保 使 用 有 类 地 址 。 

识别 用 于 验证 RIP 路 由 选择 的 命令 。 命 令 show ip route 可 给 出 路 由 选择 表 的 内 容 。 表 中 左边 
的 字符 R 指明 该 路 由 是 由 RIP 发 现 的 。 命 令 debug ip rip 可 给 出 在 路 由 器 上 发 送 和 接收 到 的 RIP 更 
新 数据 。 如 果 发 现 某 个 路 由 的 度量 值 为 6， 则 这 个 路 由 被 认为 是 不 可 用 的 。 

描述 RIPv1 和 RIPv2 之 间 的 不 同 。RIPv1 每 30s 就 发 送 一 次 广播 ,并且 其 AD 为 120。RIPv2 每 30 
秒 就 发 送 一 次 组 播 ( 224.0.0.9 )， 而 且 AD 也 为 120。RIPv2 可 以 随 路 由 更 新 发 送 子 网 掩 码 信息 ， 因 此 
可 以 支持 无 类 网 络 和 不 连续 的 网 络 。 此 外 ，RIPv2 还 支持 路 由 器 间 的 认证 ， 而 RIPv1 不 能 。 


8.10 ”书面 实验 8 


给 出 下 列 问题 的 答案 。 

(D 在 恰当 的 命令 提示 符 下 ， 创 建 一 个 通 往 网 络 172.16.10.0/24 的 静态 路 由 ， 使 用 的 下 一 跳 的 网 关 
为 172.16.20.1， 并 且 它 的 管理 距离 为 150。 

(2) 当 某 PC 向 一 个 远程 网 络 中 的 PC 发 送 分 组 时 , 发 给 默认 网 关 的 数据 帧 中 使 用 的 目的 人 P 地址 和 
MAC 地 址 将 会 是 什么 ? 

(3) 在 恰当 的 命令 提示 符 下 ， 创 建 通 往 172.16.40.1 的 默认 路 由 。 

(4) 如 果 要 在 一 个 无 类 环境 中 使 用 默认 的 路 由 选择 ， 还 必须 使 用 什么 命令 ? 

(5) 默认 路 由 对 哪 种 类 型 的 网 络 更 有 好 处 ? 

(6) 在 恰当 的 命令 提示 符 下 ， 显 示 路 由 器 上 的 路 由 选择 表 。 

(7) 在 创建 静态 或 默认 路 由 时 ， 不 必 使 用 下 一 跳 中 地址 ， 这 时 可 以 使 用 § 

(8) 对 / 错 : 为 了 到 达 目 的 主机 ， 你 必须 知晓 远程 主机 的 MAC 地 址 。 

(9) 对 / 错 : 为 了 到 达 目 的 主机 ， 你 必须 知道 远程 主机 的 IP 地 址 。 

(10) 在 恰当 的 命令 提示 符 下 ， 执 行 需要 在 DCE 串 行 接口 上 运行 但 在 DTE 串 行 接口 上 不 需要 运行 
的 命令 。 

(11) 在 恰当 的 命令 提示 符 下 ， 使 用 卫 地址 10.0.0.1/24 在 接口 上 启用 RIP 路 由 选择 。 

(12) 在 恰当 的 命令 提示 符 下 ， 给 出 阻止 路 由 器 从 串 行 接口 1 传播 出 RIP 信息 的 命令 。 

(13) 什么 样 的 路 由 选择 环 路 阻止 机 制 会 在 某 个 链 路 失效 时 送出 最 大 跳 计 数 ? 

(14) 什么 样 的 路 由 选择 环 路 阻止 机 制 会 抑制 将 路 由 选择 信息 重 传 回 接收 这 些 信息 的 接口 ? 

(15) 在 恰当 的 命令 提示 符 下 ， 将 路 由 器 发 送 或 接收 到 的 RIP 路 由 选择 更 新 显示 到 控制 台 会 话 。 

(书面 实验 8 的 答案 可 以 在 本 章 复 习题 答案 的 后 面 找到 。 ) 


8.11 动手 实验 


在 下 面 的 动手 实验 中 ， 你 需要 配置 一 个 带 有 3 台 路 由 器 的 网 络 。 这 些 练习 假定 与 前 面 各 章 的 实验 
具有 相同 的 配置 需求 。 
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本 章 包含 下 列 实验 。 

口 实验 8.1: 创建 静态 路 由 

口 实验 8.2: 配置 RIP 路 由 选择 

下 图 给 出 的 互联 网 络 将 用 于 配置 所 有 路 由 器 。 


路 由 露 接 “ 口 IP 地 址 
Lab A F0/0 172.16.10.1 
Lab A SO/0 172.16.20.1 
Lab B SO/0 172.16.20.2 
Lab B SO/1 172.16.30.1 
Lab C SO0/0 172.16.30.2 
Lab C Fa0/0 172.16.40.1 


这 些 实验 均 未 在 Lab B 路 由 器 上 使 用 LAN 接口 。 如 果 需 要 ， 你 可 以 添加 LAN 到 实验 中 。 


8.11.1 动手 实验 8.1: 创建 静态 路 由 


在 这 个 实验 里 ,你 需要 为 全 部 3 个 路 由 器 分 别 创建 静态 路 由 ， 以 使 这 些 路 由 器 可 以 了 解 所 有 的 网 
络 。 完 成 时 ， 请 使 用 Ping 程序 进行 验证 。 

(1) 路 由 器 Lab A 连接 到 了 两 个 网 络 一 一 172.16.10.0 和 172.16.20.0。 你 需要 为 网 络 172.16.30.0 和 
172.16.40.0 添加 路 由 。 我 们 使 用 下 列 命令 来 添加 静态 路 由 。 


Lab_A#config t 


Lab _ACconfig)#ip route 172.16.30.0 255.255.255.0 
172.16.20.2 


Lab_ACconfig)#ip route 172.16.40.0 255.255.255.0 
172.16.20.2 


(2) 进入 特权 模式 ,输入 copy run start， 并 按 下 回 车 键 ， 为 Lab_A 路 由 器 保存 当前 的 配置 。 
(3) 在 Lab_ B 路 由 器 上 ， 到 网 络 172.16.20.0 和 172.16.30.0 的 连接 是 直接 连接 。 你 需要 为 网 络 
172.16.10.0 和 172.16.40.0 添加 路 由 。 我 们 使 用 下 列 命 令 添 加 静态 路 由 。 
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Lab_B#config t 
Lab_BCconfig)#ip route 172.16.10.0 255.255.255.0 
172.16.20.1 
Lab_B(Cconfig)#1ipP route 172.16.40.0 255.255.255.0 
172.16.30.2 
(4) 进入 启用 的 模式 , 输入 copy run start， 并 按 下 回 车 键 , 为 Lab_B 路 由 器 保存 当前 的 配置 。 
(5) 在 Lab_C 路 由 器 上 , 创建 到 达 网 络 172.16.10.0 和 172.16.20.0 的 静态 路 由 ,它们 与 路 由 器 并 不 
直接 连接 。 创 建 静态 路 由 ， 使 路 由 器 Lab_C 能 了 解 所 有 的 网 络 ， 我 们 使 用 如 下 命令 : 
Lab_C#config t 
Lab_CCconfig)#ip route 172.16.10.0 255.255.255.0 
172.16.30.1 
Lab_CCconfig)#ip route 172.16.20.0 255.255.255.0 
172.16.30.1 
(6) 进入 启用 的 模式 ， 输 入 copy run start， 并 按 下 回 车 键 ， 为 Lab_C 路 由 器 保存 当前 的 配置 。 
(7) 检查 路 由 选择 表 ， 通 过 执行 show ip route 确保 所 有 4 个 网 络 都 被 显示 。 
(8) 现在 从 每 个 路 由 器 ping 你 的 主机 ， 并 且 在 所 有 路 由 器 间 执 行 ping 操作 。 如 果 配 置 是 正确 的 ， 
结果 将 会 表明 Ping 操作 成 功 。 


8.11.2 ”动手 实验 8.2: 配置 RIP 路 由 


在 这 个 实验 中 ， 我们 将 使 用 动态 路 由 选择 协议 RP， 以 此 淘汰 静态 路 由 选择 。 
(D 使 用 no ip route 命令 ， 来 删除 路 由 器 上 已 配置 的 任 一 静态 路 由 或 默认 路 由 。 下 面 就 是 一 个 
示例 ， 它 给 出 了 在 Lab A 路 由 器 上 删除 静态 路 由 的 操作 : 
Lab_A#config t 
Lab_ACconfig)#no ip route 172.16.30.0 255.255.255.0 
172.16.20.2 
Lab_ACconfig)#no ip route 172.16.40.0 255.255.255.0 
172.16.20.2 
为 路 由 器 Lab_B 和 Lab_C 执行 同样 的 操作 。 验 证 目前 路 由 选择 表 中 只 存在 直接 相连 的 网 络 。 
(2) 清除 了 静态 路 由 和 默认 路 由 之 后 ， 在 路 由 器 Lab A 上 通过 输入 config t 进 人 配置 模式 。 
(3) 通过 输入 router rip 并 按 下 回 车 键 配置 路 由 器 ， 让 它 使 用 RIP 路 由 选择 协议 ， 如 下 所 示 : 
config t 
router rip 
(4) 为 需要 进行 通告 的 网 络 添加 网 络 号 。 由 于 路 由 器 Lab_A 有 两 个 接口 分 别 位 于 两 个 不 同 的 网 络 
中 ， 因 此 你 必须 使 用 每 个 接口 所 在 网 络 的 网 络 ID 完成 网 络 声明 。 另 外 ， 你 也 可 以 使 用 这 些 网 络 的 一 
个 汇总 ， 使 用 一 个 共同 的 声明 ， 从 而 使 路 由 选择 表 最 小 化 。 由 于 这 两 个 网 络 分 别 是 172.16.10.0/24 和 
172.16.20.0/24， 网 络 汇总 172.16.0.0 将 同时 包含 这 两 个 子 网 。 所 以 ， 要 完成 配置 可 以 输入 network 
172 .16.0.0 并 按 下 回 车 键 。 
(5) 按 下 CtrLHZ， 退 出 配置 模式 。 
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(6) 路 由 器 Lab B 和 Lab_C 上 的 接口 分 别 属于 172.16.20.0/24 和 172.16.30.0/24 网 络 ， 因 此 同样 的 
汇总 网 络 声 明 也 是 可 以 正常 工作 的 。 输 入 相同 的 命令 ， 如 下 所 示 : 

Config t 

Router rip 

network 172.16.0.0 

(7) 通过 输入 下 列 命令 ， 验 证 RIP 在 每 个 路 由 器 上 的 运行 情况 : 


show ip protocols 


a i 


(应 能 表明 RIP 正在 本 路 由 器 上 运行 ) 
show ip route 
(应 该 给 出 当前 使 用 的 路 由 ， 并 且 在 路 由 的 左 侧 显示 字符 了 及) 


show running-config or show run 


(应 能 表明 RIP 当前 正在 运行 ， 并 且 网 络 正 被 通告 ) 
(8) 通过 输入 copy run start 或 copy running-config startup-config 命令 ， 并 按 下 回 车 键 ， 


保存 配置 。 
(9) 通过 ping 所 有 的 远程 网 络 和 主机 验证 此 网 络 的 配置 情况 。 


8.12 复习 题 


下 面 的 复习 题 旨 在 测试 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
注意 ”信息 ， 请 参阅 本 书 的 前 言 。 


(1) Acme 公司 使 用 一 个 名 为 Gateway 的 路 由 器 连接 自己 的 ISP， 而 此 ISP 路 由 器 的 地 址 为 206.143.5.2。 


在 此 Gateway 路 由 器 上 使 用 下 列 哪 两 个 命令 可 使 因特网 访问 这 里 的 整个 网 络 ? 
A. Gateway (config)#ip route 0.0.0.0 0.0.0.0 206.143.5.2 
B. Gateway (config)#router rip 
Gateway (config-router)#network 206.143.5.0 
C. Gateway (config)#router rip 
Gateway (config-router)#network 206.143.5.0 default 
D. Gateway (config)#ip route 206.143.5.0 255.255.255.0 default 
E. Gateway (config)#ip default-network 206.143.5.0 
(2) 什么 命令 可 以 阻止 从 某 个 接口 输出 RIP 路 由 选择 更 新 ， 但 仍 允 许 该 接口 接收 RIP 路 由 更 新 ? 
A. Router(config-if)#no routing 
B. Router(config-if)#passive-interface 
C. Router(config-router)#passive-interface s0 
D. Router (config-router)#no routing updates 


(3) 关于 命令 ip route 172.16.4.0 255.255.255.0 192.168.4.2， 下 面 哪 两 个 描述 是 正确 的 ? 
A. 此 命令 用 于 建立 静态 路 由 B. 使 用 了 默认 的 管理 距离 
C. 此 命令 用 于 配置 默认 路 由 D. 源 地 址 的 子 网 掩 码 为 255.255.255.0 
E. 此 命令 用 于 建立 存根 网 络 
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(4) 在 如 下 网 络 中 ，HostA 将 使 用 什么 目的 地 址 将 数据 发 送 给 HTTPS 服务 器 ? 〈 选择 其 中 的 两 个 。) 


A. 交换 机 的 下 地址 B. 远程 交换 机 的 MAC 地 址 
C. HTTPS 服务 器 的 全 地 址 D. HTTPS 服务 器 的 MAC 地址 
E. RouterA 的 Fa0/0 接口 的 下 地 址 F. RouterA 的 Fa0/0 接口 的 MAC 地 址 


. RouterA 


Es 
HTTPS 服务 器 
HostA 


(5) 关于 下 面 的 输出 下 列 哪 两 个 描述 是 正确 的 ? 
04:06:16: RIP: received v1 update from 192.168.40.2 on Serial0/1l 
04:06:16: 192.168.50.0 in 16 hops (inaccessible) 
04:06:40: RIP: sending v1 update to 255.255.255.255 via 
FastEthernet0/0 (192.168.30.1) 
04:06:40: RIP: build update entries 


04:06:40: network 192.168.20.0 metric 1 
04:06:40: network 192.168.40.0 metric 1 
04:06:40: network 192.168.50.0 metric 16 


04:06:40: RIP: sending v1 update to 255.255.255.255 Via Serial0/1i 
(192.168.40.1) 
A. 此 路 由 器 上 有 3 个 接口 参与 了 这 一 更 新 
B. 可 以 成 功 地 ping 192.168.50.1 
C. 这 里 至 少 有 两 个 路 由 器 在 交换 信息 
D. 可 以 成 功 地 ping 192.168.40.2 
(6) 关于 水 平分 割 操 作 ， 下 面 哪个 描述 是 最 佳 的 ? 
A. 关于 某 路 由 的 信息 不 能 被 发 送 回 原 更 新 数据 送 来 的 方向 
B. 拥有 一 个 大 型 的 总 线 (水 平 ) 物理 网 络 时 ， 这 一 操作 可 以 分 割 流量 
C. 对 于 失效 的 链 路 ， 它 可 以 保持 常规 更 新 而 非 广播 
D. 它 可 以 阻止 常规 更 新 消息 对 已 经 失效 的 路 由 重新 进行 构建 
(7) 如 下 图 所 示 ， 如 果 HostA 试图 与 HostB 进行 通信 并 且 RouterC 的 F0/0 接口 失效 了 , 那么 下 面 哪 两 个 
描述 是 正确 的 ? 
A. RouterC 将 使 用 一 个 ICMP 向 HostA 通告 HostB 已 经 不 可 达 了 
B. RouterC 将 使 用 一 个 ICMP 向 RouterB 通告 HostB 已 经 不 可 达 了 
C. RouterC 将 使 用 一 个 ICMP 向 HostA、RouterA 和 RouterB 通告 HostB 已 经 不 可 达 了 
D. RouterC 将 发 送 一 个 目标 不 可 达 类 型 的 消息 
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E. RouterC 将 发 送 一 个 路 由 器 选择 类 型 的 消息 
F. RouterC 将 发 送 一 个 源 抵制 类 型 的 消息 
RouterA RouterB RouterC 


六 


HostA HostB 
(8) 关于 无 类 路 由 选择 协议 ， 下 面 哪 两 个 描述 是 正确 的 ? 
A. 不 连续 网 络 的 使 用 是 不 被 允许 的 
B. 可 变 长 度 的 子 网 掩 码 的 使 用 是 被 允许 的 
C. RIPv1 是 一 种 无 类 路 由 选择 协议 
D.IGRP 在 同一 个 自治 系统 中 支持 无 类 路 由 选择 
E. RIPv2 支持 无 类 路 由 选择 


(9) 关于 距离 矢量 路 由 选择 协议 和 链 路 状态 路 由 选择 协议 的 描述 ， 下 面 哪 两 个 是 正确 的 ? 
A. 链 路 状态 将 定期 从 所 有 可 用 的 接口 上 发 送 它 完整 的 路 由 选择 表 
B. 距离 矢量 将 定期 从 所 有 可 用 的 接口 上 发 送 它 完整 的 路 由 选择 表 
C. 链 路 状态 将 发 送 包 含有 它 自 己 与 互联 网 络 中 所 有 路 由 器 相连 链 路 的 状态 的 更 新 
D. 距离 矢量 将 发 送 包 含有 它 自己 与 互联 网 络 中 所 有 路 由 器 相连 链 路 的 状态 的 更 新 
(10) 下 面 哪个 命令 可 以 用 于 显示 RIP 路 由 选择 的 更 新 ? 


A. show ip route B. debug ip rip C. show protocols D. debug ip route 
(11) RIPv2 将 使 用 什么 阻止 路 由 选择 环 路 ? 〈 选择 其 中 两 个 。 ) 
A. CIDR B. 水 平分 割 C. 认证 


D. 无 类 掩 码 遮 盖 E. 保持 失效 定时 器 
(12) 某 个 网 络 管理 员 在 查看 由 show ip route 命令 给 出 的 输出 时 ， 发 现 某 个 由 RIP 和 EIGRP 通告 的 网 
络 在 其 路 由 表 中 都 被 标识 为 EIGRP 路 由 。 为 什么 在 这 个 路 由 选择 表 中 没有 使 用 到 这 个 网 络 的 RIP 路 由 ? 
A. EIGRP 拥有 更 快 的 更 新 定时 器 
B. EIGRP 拥有 更 低 的 管理 距离 
C. RIP 的 路 由 拥有 更 高 的 度量 值 
D. EIGRP 路 由 具有 更 低 的 跳 计数 
E. RIP 路 径 形成 了 路 由 选择 环 路 
(13) 当 你 在 路 由 器 的 控制 台 上 输入 了 debug ip rip 命令 ， 并 发 现 正在 通告 的 172.16.10.0 的 度量 值 为 
16。 这 意味 着 什么 ? 
A. 这 个 路 由 为 16 跳远 
B. 这 个 路 由 具有 16 微 秒 的 延迟 
C. 这 个 路 由 不 可 达 
D. 这 个 路 由 排 在 第 二 个 16 条 消息 处 
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(14) RIPv2 使 用 何 种 度量 标准 找 出 到 达 远 程 网 络 的 最 佳 路 径 ? 


A. 跳 计 数 B. MTU C. 接口 累积 延迟 
D. 负载 E. 路 径 带 宽 值 


(15) 公司 路 由 器 收 到 一 个 源 人 PP 地址 为 192.168.214.20 并 且 目 的 地 址 为 192.168.22.3 的 了 瑟 分 组 。 查 看 下 
面 给 出 的 此 公司 路 由 器 的 输出 ， 指 出 此 路 由 器 将 如 何 处 理 这 一 分 组 ? 


Corp#sh ip route 

foutput cut] 

R 192 .168.215.0 [120/2] via 192.168.20.2，00:00:23，Serial0/0 
R 192.168.115.0 [120/1] via 192.168.20.2，00:00:23，Serial0/0 
R 192.168.30.0 [120/1] via 192.168.20.2，00:00:23，Serial10/0 
C 192.168.20.0 is directly connected, Serial0/0 

C 192.168.214.0 is directly connected, FastEthernet0/0 


A. 这 一 分 组 将 被 丢弃 B. 这 一 分 组 将 从 接口 S0/0 处 被 路 由 出 去 
C. 此 路 由 器 将 通过 广播 查找 此 目的 地 址 D. 这 一 分 组 将 从 接口 Fa0/0 处 被 路 由 出 去 
(16) 如 果 路 由 选择 表 中 包含 一 个 静态 路 由 ， 同 时 对 此 网 络 还 存在 一 条 RIP 路 由 和 一 条 EIGRP 路 由 ， 那 
么 默认 使 用 哪个 路 由 转发 分 组 ? 
A. 任意 可 用 的 路 由 。”B. RIP 路 由 C. 静态 路 由 
D. EIGRP 路 由 E. 对 所 有 路 由 使 用 负载 均衡 
(17) 下 面 给 出 了 路 由 选择 表 。 其 中 哪个 网 络 将 不 会 出 现在 相 邻 路 由 器 的 路 由 选择 表 中 ? 
R 192.168.30.0/24 [120/1] via 192.168.40.1, 00:00:12，Serial0 
C 192.168.40.0/24 is directly connected, Serial0 
172.16.0.0/24 is subnetted, 1 subnets 
172.16.30.0 is directly connected, Loopback0 
192.168.20.0/24 [120/1] via 192.168.40.1, 00:00:12, Serial0 
10.0.0.0/8 [120/15] via 192.168.40.1, 00:00:07，Serial0 
C 192.168.50.0/24 is directly connected, Ethernet0 
A. 172.16.30.0 B. 192.168.30.0 C. 10.0.0.0 
D. 所 有 这 些 网 络 都 将 出 现在 相 邻 路 由 器 的 路 由 选择 表 中 
(18) 两 个 相连 的 路 由 器 均 只 配置 了 RIP 路 由 选择 。 当 其 中 某 个 路 由 器 接收 到 一 个 对 路 由 选择 表 中 已 经 
存在 的 网 络 的 路 由 选择 更 新 ， 并 且 这 一 更 新 包含 的 路 径 代 价 比 原 有 的 高 时 ， 结 果 会 怎样 ? 
A. 此 更 新 信息 将 会 被 加 入 当前 的 路 由 选择 表 
B. 此 更 新 内 容 将 会 被 忽略 ， 并 且 不 会 有 更 进一步 的 操作 
C. 此 更 新 信息 将 会 蔡 代 当前 的 路 由 选择 表 项 
D. 当前 的 路 由 选择 表 表 项 将 会 被 从 路 由 选择 表 中 删除 ， 并 且 所 有 的 路 由 器 都 会 交换 路 由 选择 更 新 
以 达到 会 聚 
(19) 关于 路 由 中 毒 ， 下 面 哪个 描述 是 正确 的 ? 
A. 它 将 回 送 接收 自 某 路 由 器 的 协议 ， 作 为 停止 常规 更 新 的 中 毒药 丸 
B. 它 是 接收 自 某 个 路 由 器 的 、 不 能 向 原始 路 由 器 回 送 的 信息 
C. 它 将 阻止 常规 的 更 新 消息 恢复 某 个 刚刚 出 现 的 路 由 
D. 它 描述 的 是 路 由 器 为 某 个 已 经 失效 的 链 路 设置 无 穷 大 度量 值 时 的 操作 
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(20) 关于 RIPv2， 下 面 哪个 描述 是 正确 的 ? 
A. 与 RIPv1 相 比 它 具 有 更 低 的 管理 距 高 
B. 它 要 比 RIPv1 会 聚 得 更 快 
C. 它 与 RIPvl 拥有 相同 的 定时 器 
D. 同 RIPv1 相 比 它 更 难 配置 


8.13 复习 题 答案 


(1) A、E。 实际 上 有 3 种 方式 可 以 配置 相同 的 默认 路 由 ,但 答案 中 只 给 出 了 两 种 。 首 先 ， 我 们 可 以 使 用 
0.0.0.0 0.0.0.0 掩 码 , 随后 指定 下 一 跳 ， 以 此 来 设置 默认 路 由 ,如 答案 A 所 示 。 另 外 , 我 们 也 可 以 使 用 0.0.0.0 
0.0.0.0， 并 用 输出 接口 代替 下 一 跳 的 方式 。 最 后 ， 我 们 也 可 以 使 用 答案 卫 中 的 ip defau1t-network 命令 。 

(2)C。(config-router)# passive-interface 命令 阻止 更 新 被 从 某 个 接口 发 送出 去 ， 但 路 由 更 新 仍 
然 可 被 接收 。 这 一 命令 不 能 在 接口 配置 模式 中 执行 ， 但 能 在 RIP 配置 模式 (通过 输入 router rip 进入 ) 
中 执行 ， 并 且 此 接口 可 以 interface_type number 的 形式 在 命令 的 后 部 指定 。 

(3) A、B。 虽 然 答案 D 看 上 去 似乎 正确 ,但 它 不 对 。 这 里 的 掩 码 是 用 于 远程 网 络 的 掩 码 ， 而 不 是 源 网 
络 的 。 由 于 命令 中 静态 路 由 后 不 再 跟 有 数字 ， 它 只 使 用 1 这 个 默认 的 管理 距离 。 

(4)C、F。 交 换 机 既 不 能 用 作 默 认 网 关 也 不 能 用 作 其 他 目的 方 。 交 换 机 不 做 任何 与 路 由 相关 的 事情 。 记 
住 ， 目 的 方 的 MAC 地 址 只 能 是 路 由 器 的 接口 地 址 。 来 自 HostA 的 帧 的 目的 方 地 址 将 是 RouterA 的 Fa0/0 接 
口 的 MAC 地 址 。 分 组 的 目的 方 地 址 ， 将 是 HTTPS 服务 器 的 网 络 接口 卡 (NIC ) 的 中 地 址 。 在 数据 段 头 部 
的 目的 端口 号 将 是 443 (HTTPS ) 。 

(5) C、D。 到 192.168.50.0 的 路 由 是 不 可 达 的 (对 于 RIP 来 说 ， 度 量 值 为 16 意味 着 相同 的 事情 ) ， 并 
且 只 有 s0/1 和 FastEthernet 0/0 接口 参加 了 RIP 更 新 。 因 为 路 由 更 新 被 接收 ， 至 少 有 两 个 路 由 器 参与 了 RIP 
路 由 选择 过 程 。 由 于 对 网 络 192.168.40.0 的 路 由 更 新 是 由 Fa0/0 接口 送出 ， 并 且 接 收 了 来 自 192.168.40.2 的 
路 由 数据 ， 因 此 我 们 有 理由 认定 到 这 个 地 址 的 ping 操作 是 可 以 成 功 的 。 

(6) A。 若 从 某 一 路 由 器 了 解 到 一 条 路 由 ， 水 平分 割 便 不 会 把 这 个 路 由 的 通告 返回 给 这 个 路 由 器 。 

(7) A、D。 RouterC 将 使 用 ICMP 通知 HostA , 说 明 HostB 不 可 达 , 这 是 通过 发 送 目标 不 可 达 类 型 的 ICMP 
消息 实现 的 。 

(8) B、E。 有 类 路 由 选择 就 是 说 互联 网 络 中 所 有 的 主机 都 使 用 相同 的 掩 码 且 只 使 用 默认 的 掩 码 。 无 类 路 
由 选择 就 是 说 可 以 使 用 变 长 子 网 掩 码 (VLSM ) 并 且 可 以 支持 不 连续 的 网 络 划分 。 

(9) B、C。 距离 矢量 路 由 选择 协议 定期 在 所 有 激活 的 接口 发 送 完整 的 路 由 选择 表 。 链 路 状态 路 由 选择 协 
议 发 送 包 括 它们 自己 链 路 状态 的 更 新 数据 给 互联 网 络 中 的 所 有 路 由 器 。 

(10) B。Debug ip rip 用 于 显示 在 路 由 器 上 发 送 及 接收 的 因特网 协议 (IP ) 路 由 信息 协议 (RIP ) 的 更 
新 。 

(11) B、E。RIPv2 与 RIPvl 使 用 相同 的 定时 器 和 环 路 避免 方案 。 水 平分 割 用 于 制止 更 新 从 其 接收 到 的 
同一 接口 再 被 发 出 。 保 持 失效 定时 器 为 在 出 现 不 稳定 链 路 时 稳定 网 络 状 态 留 出 了 时 间 。 

(12) B。RIP 的 管理 距离 (AD ) 为 120， 而 EIGRP 的 管理 距离 为 90， 因 此 路 由 器 将 忽略 到 同一 网 络 的 、 
任何 AD 值 高 于 90 的 路 由 。 

(13)C。 默 认 情况 下 ,在 RIP 网 络 上 不 能 有 16 跳 。 如 果 接 收 到 的 某 个 路 由 被 通告 度量 值 为 16 跳 ， 则 说 
明 这 个 路 由 已 经 是 不 可 达 的 了 。 

(14) A。RIPv1 和 RIPv2 只 使 用 最 低 的 跳 计 数 判断 到 达 远 程 网 络 的 最 佳 路 径 。 
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(15) A。 由 于 路 由 选择 表 中 没有 通 往 192.168.22.0 网 络 的 路 由 ， 路 由 器 将 丢弃 这 个 分 组 并 从 接口 
FastEthernet0/0 送出 一 个 目标 不 可 达 ICMP 消息 ， 这 个 接口 连接 产生 分 组 的 源 LAN。 

(16) C。 静 态 路 由 的 管理 距离 默认 为 1。 除 非 你 修改 这 一 值 ， 否 则 静态 路 由 的 优先 级 一 直 高 于 所 有 以 其 
他 方式 发 现 的 路 由 。EIGRP 使 用 的 管理 距离 默认 为 90， 而 RIP 使 用 的 管理 距离 默认 为 120。 

(17) C。 网络 10.0.0.0 不 能 被 放置 在 下 一 个 路 由 器 的 路 由 选择 表 中 ， 因 为 它 已 经 是 15 跳 了 。 再 多 一 跳 将 
使 路 由 达到 16 跳 ， 在 RIP 网 络 中 这 是 无 效 的 。 | 

(18) B。 当 路 由 器 接收 到 一 个 路 由 更 新 时 ， 它 首先 检查 管理 距离 ( AD ) 并 且 总 是 选择 具有 最 低 AD 的 
路 由 。 然 而 ， 如 果 接 收 到 两 个 具有 相同 AD 且 具 有 不 同 度量 值 的 路 由 ， 那 么 它 将 会 选择 带 有 较 低 度量 值 的 
一 个 ， 比 如 在 RIP 中 使 用 跳 计数 小 的 路 由 。 

(19) D。 另 一 个 避免 由 更 新 不 一 致 及 路 由 环 路 造成 网 络 问 题 的 方式 是 路 由 中 毒 。 当 一 个 网 络 失 效 时 , 距 
离 矢 量 路 由 选择 协议 就 会 启动 路 由 中 毒 ， 即 通过 通告 该 网 络 的 度量 值 为 表示 不 可 达 的 16 (RIP ) ， 有 时 会 
视 这 一 值 为 无 穷 大 。 

(20) C。RIPv2 与 RIPv1 确实 非常 相像 。 它们 具有 相同 的 管理 距离 和 定时 器 , 并 且 配 置 方式 也 基本 相同 。 
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(1) routerCconfig)#ip route 172.16.10.0 255.255.255.0 172.16.20.1 150 
(2) 它 将 使 用 网 络 在 第 2 层 的 网 关 接 口 MAC 地 址 和 第 3 层 的 实际 目标 卫 地 址 


{3) router (config)#ip route 0.0.0.0 0.0.0.0 172.16.40.1 
(4) Router (config)#ip classiless 


(5) 存根 网 络 
(6) Router#show ip route 
(7) 输出 接口 
(8) 错 。 这 个 MAC 地 址 将 是 路 由 器 的 接口 地 址 ， 而 不 是 远程 主机 的 地 址 
(9) 对 
(10) Router(Cconfig-if)#clock rate Speed 
(11) router (config)#router rip 
router (config-router)#network 10.0.0.0 
(12) router(config)#router rip 
router(config-router)#passive-interface S1 
(13) 路 由 中 毒 
(14) 水 平分 割 
{15) debug ip rip 


和 对 


增强 IGRP(EIGRP) 和 
开放 最 短路 径 优 先 (OSPF) 


本 章 涵盖 以 下 CCNA 考试 要 点 。 . 

v 在 思科 的 设备 上 配置 、 验 证 和 排 错 路 由 器 的 基本 操作 及 路 由 选择 

口 访问 并 操作 路 由 器 来 配置 基本 的 参数 ( 包括 使 用 CLLSDM ); 

口 连接 、 配 置 并 验证 设备 接口 的 工作 状态 ; 

口 使 用 ping 、traceroute、Telnet、SSH 或 其 他 工具 ， 验 证 设备 的 配置 和 网 络 的 连通 性 ; 

口 为 指定 路 由 选择 设备 完成 静态 路 由 或 默认 路 由 的 建立 ， 并 验证 这 一 路 由 选择 设置 工作 ; 

口 比较 并 评价 路 由 选择 方式 和 路 由 选择 协议 ; 

口 OSPF 的 配置 、 验 证 及 排 错 ; 

口 EIGRP 的 配置 、 验 证 及 排 错 ; 
口 验证 网 络 的 连通 性 (包括 使 用 ping、traceroute 和 Telnet 或 SSH ); 
口 排 错 路 由 选择 出 现 的 问题 ; 

口 使 用 SHOW 和 DEBUG 命令 来 验证 路 由 器 的 硬件 和 软件 的 运行 状态 ; 

日 实施 基本 的 路 由 器 安全 。 

EIGRP ( Enhanced Interior Gateway Routing Protocol， 增 强 内 部 网 关 路 由 选择 协议 ) 是 一 个 思科 的 
专用 协议 , 它 只 运行 在 思科 路 由 器 上 。 由 于 EIGRP 是 目前 最 为 流行 的 两 个 路 由 选择 协议 中 的 一 个 , 因 
此 , 理解 它 是 非常 重要 的 。 本 章 将 会 对 EIGRP 进行 详尽 的 介绍 ， 并 对 其 工作 方式 进行 细致 的 描述 , 在 
这 个 过 程 中 ， 我 们 将 特别 关注 其 发 现 、 选 择 及 通告 路 由 的 独特 方式 。 

本 章 还 将 介绍 OSPF( Open Shortest Path First， 开 放 最 短路 径 优先 ) 路 由 选择 协议 ， 它 是 另 一 个 
目前 最 流行 的 路 由 选择 协议 。 首 先 ， 通 过 熟悉 OSPF 的 术语 及 其 内 部 的 操作 ， 建 立 一 个 有 助 于 OSPF 
理解 的 坚实 基础 ， 然 后 ， 再 讨论 OSPF 强 于 RIP 的 主要 特性 。 随 后 ， 将 对 在 OSPF 应 用 中 出 现 的 问题 
进行 讨论 ， 并 重点 关注 各 种 类 型 的 广播 和 非 广播 网 络 应 用 中 出 现 的 问题 。 最 后 ， 将 解释 如 何在 特定 的 
不 同 的 网 络 环境 中 执行 单 区 域 OSPF， 并 演示 如 何 检验 处 于 平稳 运行 中 的 各 项 配置 。 


有 关 本 章 的 最 新 修订 ,请 访问 www.Jammle.com 和 /或 www.sybex.com/go/ccna7e。 
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9.1 ”EIGRP 的 特点 和 操作 


增强 的 IGRP ( EIGRP ) 是 一 个 无 类 、 增 强 的 距离 矢量 协议 ,协议 中 也 使 用 了 自治 系统 的 概念 来 
描述 相 邻 路 由 器 的 集合 , 处 于 自治 系统 中 的 路 由 器 使 用 相同 的 路 由 选择 协议 并 共享 相同 的 路 由 选择 信 
息 。 EIGRP 在 它 的 路 由 更 新 中 包含 了 子 网 掩 码 , 因为 它 被 认为 是 无 类 的 协议 。 正 如 我 们 现在 所 知道 的 ， 
对 子 网 掩 码 信息 进行 通告 ， 将 使 我 们 可 以 在 设计 网 络 时 使 用 VLSM ( Variable Length Subnet Mask， 可 
变 长 子 网 掩 码 ) 及 人 工 汇总 ! 

由 于 EIGRP 同时 拥有 距离 矢量 和 链 路 状态 两 种 协议 的 特性 ,因此 它 有 时 也 被 称 为 混合 型 路 由 选择 
协议 。 例 如 ，EIGRP 不 会 像 OSPF 那样 发 送 链 路 状态 数据 包 ， 相 反 ， 它 所 发 送 的 是 传统 的 距离 矢量 更 
新 , 在 此 更 新 中 包含 有 网 络 信息 以 及 从 发 出 通告 的 路 由 器 达到 这 些 网 络 的 开销 。 此 外 ，EIGPR 也 拥有 
链 路 状态 的 特性 ， 它 会 在 启动 时 同步 相 邻 路 由 器 上 的 路 由 表 ， 并 在 每 次 拓扑 结构 发 生 改 变 时 发 送 特定 
的 更 新 数据 。 这 使 EIGRP 非常 适用 于 特大 型 的 网 络 应 用 。EIGRP 的 最 大 跳 计 数 为 255( 其 默认 设置 为 
100 )。 不 要 为 这 样 的 描述 而 困惑 ，EIGRP 不 会 像 RIP 那样 使 用 跳 计数 作为 度量 ， 对 于 EIGRP 来 说 ， 
跳 计数 只 是 用 来 限定 EIGRP 路 由 更 新 数据 包 在 被 抛弃 之 前 可 以 经 过 的 路 由 器 个 数 。 同 样 , 这 个 数值 是 
用 于 限定 AS 的 大 小 的 ， 而 与 如 何 计算 度量 无 关 。 

EIGRP 拥有 许多 强大 的 功能 ， 它 也 因此 而 比 其 他 协议 表现 得 更 为 出 色 。 下 面 就 给 出 几 个 主要 的 
功能 : 

口 通过 协议 相关 模块 支持 人 和 1IPv6( 以 及 一 些 应 用 不 广泛 的 其 他 被 路 由 协议 ); 

口 被 认为 是 无 类 的 (与 RIPv2 和 OSPF 一样 ); 

口 支持 VLSM/CIDR; 

口 支持 汇总 和 不 连续 网 络 ; 

口 高 效 的 邻居 发 现 ; 

口 基于 可 靠 传输 协议 (RIP ) 的 通信 ; 

口 基于 弥散 更 新 算法 (DUAL ) 的 最 佳 路 径 选择 。 


思科 将 EIGRP 称 为 距离 失 量 路 由 选择 协议 ， 有 时 也 将 之 称 为 高 级 的 距离 拓 量 路 
注意 由 选择 协议 ， 或 直接 称 为 混合 路 由 选择 协议 。 


9.1.1 协议 相关 模块 


EIGRP 最 能 吸引 人 的 一 个 功能 是 , 它 可 以 为 多 种 网 络 层 协 议 提供 路 由 支持 ,这 些 网 络 层 协 议 可 以 
是 全、IPX、AppleTalk 以 及 现在 使 用 的 IPv6。( 很 显然 我 们 不 会 再 使 用 人 PX 和 AppleTalk 了 ,但 是 EIGRP 
仍 对 它们 提供 了 支持 。) 另 一 个 同样 可 以 支持 多 种 网 络 层 协 议 的 路 由 选择 协议 是 中 间 系 统 到 中 间 系 统 
(IS-IS ) 协议 。 

EIGRP 通过 使 用 PDM ( Protocol-Dependent Module， 协 议 相关 模块 ) 来 实现 对 不 同 网 络 层 协 议 的 
支持 。 每 个 EIGRP PDM 将 会 为 指定 的 协议 维护 多 个 相互 独立 的 表 ， 这 些 表 保存 着 特定 协议 的 路 由 选 
择 信息 。 也 就 是 说 ， 这 样 就 可 以 同时 拥有 如 IP/EIGRP 表 和 IPv6/EIGRP 表 。 


324 第 9 章 增强 IGRP(EIGRP) 和 开放 最 短路 径 优 先 (OSPF) 


9.1.2 ”邻居 发 现 


在 EIGRP 路 由 器 彼此 进行 路 由 交换 之 前 ,它们 必须 首先 成 为 邻居 。 要 建立 邻居 关系 ,必须 满 足 3 
个 条 件 : 

口 接收 到 Hello 包 ; 

口 实现 AS 号 的 匹配 ; 

口 相同 的 度量 (K 值 )。 

链 路 状态 协议 都 会 选用 Hello 消息 来 建立 邻居 关系 ( 这 也 被 称 为 邻接 )， 由 于 在 正常 工作 时 它们 不 
会 定时 发 送 路 由 更 新 数据 ， 因 此 ,在 这 里 需要 应 用 一 些 机 制 来 帮助 邻居 们 认识 到 有 新 的 伙伴 加 入 ,或 
者 是 有 老 的 居民 离 去 或 关机 。 为 了 维持 这 一 邻居 关系 ，EIGRP 路 由 器 必须 持续 地 从 它们 邻居 那里 接收 
Hello 消息 。 

分 处 于 不 同 自 治 系统 (AS ) 中 的 EIGRP 路 由 器 ， 不 会 自动 共享 路 由 选择 人 信息， 并且， 它们 也 不 
会 成 为 邻居 。 这 样 在 大 型 网 络 应 用 中 ， 可 以 有 效 地 减少 通过 指定 AS 传播 的 路 由 信息 量 。 而 在 这 里 ， 
唯一 需要 关注 的 就 是 ， 在 不 同 AS 之 间 所 进行 的 手工 再 发 布 信息 。 

当 EIGRP 发 现 了 一 个 新 的 邻居 ， 并 且 与 它 通过 交换 Helio 数据 包 而 建立 起 了 邻居 关系 时 ，EIGRP 
才 需 要 通报 它 整个 的 路 由 表 信 息 。 当 这 一 状况 出 现时 ， 两 个 邻居 会 将 自己 完整 的 路 由 表 通 告 给 对 方 。 
在 它们 了 解 了 邻居 的 路 由 之 后 ， 将 只 对 路 由 表 变 化 的 部 分 进行 传播 。 

当 EIGRP 路 由 器 接收 到 邻居 的 更 新 时 , 会 将 数据 保存 在 一 个 本 地 的 拓扑 表 中 。 这 张 表 包含 了 从 所 
.有 已 知 的 邻居 处 所 了 解 到 的 所 有 路 由 ， 它们 将 作为 选择 最 佳 路 由 的 原始 素材 ， 而 只 有 最 终 被 选择 出 来 
的 最 佳 路 由 才 会 被 放 人 路 由 选择 表 中 。 

在 继续 学 习 之 前 ， 先 让 我 们 来 定义 一 些 术 语 。 

口 可 行距 离 (FD) ”在 所 有 通 往 远 程 网 络 的 路 径 中 ， 这 是 一 个 具有 最 优 评价 的 度量 ， 在 这 一 取 

hep etiam 这 个 具有 最 低 FD 的 路 由 被 认为 是 最 佳 路 由 ， 
只 有 它 会 出 现在 路 由 选择 表 中 。 可 行距 离 度量 值 是 由 邻居 报告 的 度量 值 ( 称 为 被 报告 或 被 
) 加 上 到 报告 此 路 由 邻居 的 度量 值 构 成 的 。 
口 被 报告 /被 通告 距离 (AD) ”这 是 一 个 由 邻居 报告 的 到 达 远 程 网络 的 度量 。 它 也 是 这 个 邻居 路 
由 选择 表 中 的 度量 ， 并 且 也 与 拓扑 表 的 圆 括号 中 的 第 二 个 数值 相同 ， 而 第 一 个 数值 将 是 可 行 
距离 。 

口 邻居 表 每 个 路 由 器 都 将 保存 有 邻接 邻居 的 状态 信息 。 当 知道 又 发 现 了 一 个 新 邻居 时 ， 该 邻居 

的 地 址 和 接口 信息 将 被 记录 下 来 , 这 些 信息 就 保存 在 邻居 表 中 , 而 邻居 表 是 存储 在 RAM 中 的 。 
对 于 每 个 协议 独立 模块 都 有 一 个 邻居 表 。 序 列 号 是 用 于 标识 数据 包 更 新 的 。 为 了 可 以 识别 错 
序 的 数据 包 ， 需 要 将 最 后 接收 到 的 序列 号 记录 下 来 。 

口 拓扑 表 拓扑 表 是 由 协议 相关 模块 根据 弥散 更 新 算法 ( DUAL ) 生成 的 。 它 包含 所 有 由 邻近 
的 路 由 器 通告 的 目标 信息 ， 以 及 每 个 被 记录 的 目标 地 址 和 通告 这 些 目 标的 邻居 列表 。 对 于 每 
个 邻居 , 来自 邻 居 的 路 由 表 的 通告 度量 (距离 ) 也 像 FD 一样 被 记录 在 这 里 。 由 邻居 所 通告 的 
目标 , 一 定 也 是 该 邻居 用 于 转发 数据 包 的 路 由 。 
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邻居 和 拓扑 表 都 保存 在 RAM 中 ,并且 都 通过 使 用 Hello 和 更 新 数据 包 来 进行 管 
注意 理 。 当 然 ， 路 由 选择 表 也 是 在 RAM 中 保存 的 ， 但 是 保存 在 路 由 选择 表 中 的 信息 则 
只 来 源 于 拓扑 表 。 


口 可 行 的 继任 者 ”可 行 的 继任 者 也 是 一 条 路 径 ， 只 是 它 所 通告 的 距离 要 比 可 行距 离 差 一 点 ， 因 
此 它 被 认为 是 一 条 备份 路 由 。EIGRP 在 拓扑 表 中 可 以 保持 多 至 16 个 可 行 的 继任 者 。 但 只 有 度 
量 为 最 佳 的 路 由 (继任 者 ) 才 会 被 复制 并 放 和 路 由 选择 表 中 。 命 令 show ip eigrp topology 
将 给 出 路 由 器 已 知 的 所 有 EIGRP 可 行 的 继任 者 路 由 。 


可 行 的 继任 者 是 一 个 备份 路 由 ， 它 保存 在 拓扑 表 中 。 而 继任 者 路 由 也 保存 在 拓 
注意 ” 扑 表 中 ,将 它 复 制 后 放 入 到 路 由 选择 表 中 。 


口 继任 者 继任 者 路 由 (可 以 将 它 想象 为 成 功 者 ! ) 是 指 到 达 远 端 网 络 的 最 佳 路 由 。 继 任 者 路 由 
是 EIGRP 用 于 转发 业务 量 的 路 由 ， 它 保存 在 路 由 选择 表 中 。 并 且 由 保存 在 拓扑 表 中 的 可 行 的 
继任 者 进行 备份 ， 一 旦 需要 时 可 以 立即 使 用 这 个 备份 。 
通过 使 用 继任 者 ， 并 在 拓扑 表 中 保持 可 行 的 继任 者 作为 备份 链 路 ， 网 络 的 会 聚 就 可 以 即刻 实现 ， 
对 任 一 邻居 的 更 新 数据 都 只 是 来 自 EIGRP 少数 的 通信 量 。 


9.1.3 可靠 传 输 协议 


EIGRP 使 用 专用 的 RTP ( Reliable Transport protocol, 可 人 靠 传 输 协议 ) 来 管理 路 由 器 间 的 消息 传输 ， 
这 些 路 由 器 必须 能 说 并 听 懂 EIGRP 语言 。 正 如 这 个 名 称 所 描述 的 , 可 靠 是 这 个 协议 的 核心 。 思科 设 计 
了 一 种 使 用 杠杆 原理 来 调节 组 播 与 单 播 的 工作 机 制 ， 从 而 实现 了 数据 更 新 的 快速 投递 以 及 对 接收 数据 
的 跟踪 。 

当 EIGRP 发 送 组 播 数据 时 ， 它 使 用 D 类 的 224.0.0.10 地 址 ， 如 前 面 讲 过 的 ， 每 个 EIGRP 路 由 器 
都 会 注意 到 它 的 邻居 是 谁 ， 对 于 每 一 个 要 发 送 的 组 播 ， 它 都 会 维护 一 个 应 答 邻 居 的 列表 。 如 果 EIGRP 
没有 收 到 某 个 邻居 发 出 的 应 答 ， 那 么 它 将 尝试 切换 到 单 播 来 重 发 同样 的 数据 。 如 果 在 尝试 发 送 了 16 
次 单 播 数据 后 ,仍然 没有 得 到 应 答 ， 则 宣告 此 邻居 消失 。 人 们 通常 将 这 个 过 程 称 为 可 靠 的 组 播 。 

通过 为 每 个 数据 包 指 定 一 个 序列 号 ， 路 由 器 可 以 跟踪 所 发 送 的 信息 。 通 过 这 一 技术 ， 路 由 器 可 以 
从 接收 到 的 数据 中 鉴别 出 过 时 的 、 重 复 的 或 者 是 错 序 的 信息 。 

由 于 EIGRP 是 一 个 稳定 的 协议 ， 做 到 这 些 是 十 分 必要 的 。EIGRP 只 在 启动 时 同步 整个 路 由 选择 
数据 库 ， 之 后 只 在 有 变化 时 传送 变动 的 部 分 ， 从 而 维持 路 由 选择 数据 库 的 连贯 性 。 而 持续 的 丢 包 或 错 
序 接收 都 将 会 破坏 这 一 连贯 性 ， 导 致 路 由 数据 库 的 混乱 。 


9.1.4 ”弥散 更 新 算法 (DUAL) 


EIGRP 为 选择 并 维持 到 达 每 个 远程 网 络 的 最 佳 路 径 ， 使 用 了 弥散 更 新 算法 (DUAL )。 这 个 算法 
可 以 实现 : 

口 随时 的 路 由 备份 准备 ; 

口 支持 VLSM; 
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口 动态 的 路 由 恢复 ; : 

口 如 果 没 有 发 现 可 行 的 继任 者 路 由 则 查询 替换 路 由 。 

DUAL 为 EIGRP 提供 的 路 由 会 聚 时 间 有 可 能 是 所 有 协议 中 最 快 的 。EIGRP 快速 会 聚 的 关键 有 两 
点 : 首先 ，EIGRP 路 由 器 维持 一 个 所 有 邻居 的 路 由 副本 ， 使 用 这 个 副本 它们 可 以 计算 出 自己 到 达 远 程 
网 络 的 开销 ， 如 果 最 佳 的 路 径 不 可 用 了 ， 它 只 需 简单 地 测试 拓扑 表 中 的 内 容 ， 并 从 中 选择 出 最 佳 的 可 
替代 路 由 ; 其 次 ， 当 它 本 地 的 拓扑 表 中 也 没有 可 替代 的 路 由 时 ，EIGRP 路 由 器 会 很 快 向 邻居 求助 ， 它 
们 不 害怕 寻求 指导 ! 对 其 他 路 由 器 的 依赖 和 对 它们 所 提供 信息 的 利用 ， 就 是 DUAL 的 “弥散 ”特性 。 

之 前 提 到 过 ，Hello 协议 的 核心 思想 就 是 要 对 新 出 现 的 或 已 消失 的 邻居 作出 快速 的 判断 。 而 由 于 
提供 了 可 靠 的 传输 及 顺序 控制 机 制 ，RTP 满足 了 这 一 需求 。 基 于 这 一 坚实 基础 ，DUAL 负责 选择 并 管 
理 最 佳 的 路 径 信息 。 


9.2 ”使 用 EIGRP 来 支持 大 型 网 络 


EIGRP 具有 许多 的 强大 功能 ， 这 使 它 非常 适用 于 大 型 的 网 络 : 

口 在 单个 路 由 器 上 支持 多 个 AS; 

口 支持 VLSM 和 汇总 ; 

口 路 由 发 现 和 维护 。 

这 些 功能 中 的 每 一 个 ， 都 为 支持 一 个 由 众多 路 由 器 组 成 的 多 样 化 网 络 发 挥 着 作用 。 


9.2.1 多 个 AS 


EIGRP 使 用 自治 系统 号 来 区 别 可 共享 路 由 信息 的 路 由 器 集合 。 路 由 信息 只 可 以 在 拥有 相同 自治 系 
统 号 的 路 由 器 间 共 享 。 在 大 型 网 络 的 设计 中 ,复杂 的 拓扑 和 元 长 的 路 由 表 以 及 那些 因 分 散 的 计算 操作 
而 导致 的 难以 容忍 的 慢 会 聚 都 会 轻易 地 将 你 击 倒 。 

那么 ,用 什么 可 以 缓解 管理 员 因 管理 现实 中 的 大 型 网 络 而 产生 的 压力 呢 ? 显然 ， 可 行 的 办 法 只 能 
是 将 这 个 大 网 络 分 割 为 多 个 独立 的 EIGRP 自治 系统 ， 即 AS。 每 个 AS 由 一 系列 相 邻 的 路 由 器 所 组 成 ， 
路 由 信息 通过 再 发 布 可 以 在 不 同 的 AS 中 进行 共享 。 

在 EIGRP 内 部 使 用 的 再 发 布 会 让 我 们 认识 到 另外 一 个 有 趣 的 特征 。 通 常 ，EIGRP 路 由 的 管理 距 
离 (AD ) 是 90, 但 这 只 适用 于 那些 内 部 EIGRP 路 由 。 这 些 路 由 产生 于 指定 自治 系统 中 的 EIGRP 路 
由 器 , 注意 这 些 路 由 器 拥有 同一 个 自治 系统 号 。 还 有 另 一 种 被 称 为 外 部 EIGRP 路 由 类 型 的 路 由 , 它们 
的 AD 是 170, 这 并 不 是 一 个 很 高 的 级 别 。 这 些 出 现在 EIGRP 路 由 表 内 的 路 由 通常 是 由 人 工 再 发 布 的 ， 
它们 所 描述 的 网 络 位 于 EIGRP 自治 系统 外 部 。 不 论 这 些 路 由 是 来 自 于 另 一 个 EIGRP 自治 系统 ， 还 是 
另 一 种 路 由 选择 协议 ， 如 OSPF ， 当 在 EIGRP 内 部 再 发 布 时 ， 这 些 路 由 都 被 称 为 外 部 路 由 。 


9.2.2 ”支持 VLSM 和 汇总 


作为 一 个 历史 悠久 的 无 类 路 由 选择 协议 ，EIGRP 支持 变 长 子 网 掩 码 的 使 用 。 这 确实 是 一 个 很 重要 的 
特性 , EIGRP 可 以 通过 使 用 子 网 掩 码 来 保留 特定 的 地 址 空间 , 以 更 加 贴近 需求 地 满足 对 主机 的 各 种 需要 ， 
如 为 点 到 点 网 络 配置 使 用 30- 比 特 的 子 网 掩 码 。 并且, 由 于 子 网 掩 码 可 随 每 个 路 由 更 新 一 同 传播 , EIGRP 
也 支持 不 连续 子 网 的 应 用 ， 而 这 一 应 用 可 以 为 我 们 在 设计 网 络 的 中 寻 址 方案 时 提供 更 大 的 灵活 性 。 
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什么 是 不 连续 的 网 络 ? 我 们 在 第 8 章 中 曾 多 次 用 到 这 个 术语 ,现在 就 是 揭晓 答案 的 时 刻 ! 它 是 将 
一 个 有 类 网 络 的 两 个 或 更 多 的 子 网 通过 另 一 个 有 类 网 络 连 接 在 一 起 的 互连网 络 。 图 9-1 给 出 了 一 个 典 
型 的 不 连续 网 络 的 示例 。 
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图 9-1 不 连续 的 网 络 

子 网 172.16.10.0 和 172.16.20.0 通过 10.3.1.0 网 络 连接 在 了 一 起 。 默 认 情 况 下 ， 出 于 路 由 通告 的 需 
求 ， 每 个 路 由 器 都 会 将 这 个 网 络 视 为 是 172.16.0.0 的 有 类 网 络 。 

不 连续 网 络 在 RIPv1 或 思科 老式 IGRP 下 是 不 能 正常 工作 的 ， 认 识 到 这 一 点 很 重要 。 并 且 ， 不 连 
续 网 络 在 默认 配置 的 RIPv2 或 EIGRP 应 用 中 也 是 不 工作 的 , 但 在 OSPF 的 默认 配置 中 可 以 工作 , 这 是 
因为 OSPF 不 像 EIGRP 一 样 能 进行 自动 汇总 。 注 意 ! 这 一 定 是 我 们 从 第 8 章 就 开始 在 一 直 寻 竟 的 答案 。 
RIP、RIPv2 和 EIGRP 在 默认 情况 下 会 自动 汇总 有 类 网 络 的 边界 ! 但 不 用 为 此 担心 ， 总 会 有 解决 办 法 ， 
只 是 默认 情况 下 不 起 作用 而 已 ! 稍 后 ， 我 们 在 讨论 EIGRP 的 配置 时 会 介绍 相关 的 正确 操作 。 

EIGRP 也 支持 人 工 创建 基于 每 个 接口 的 汇总 , 而 这 一 操作 可 以 应 用 于 任何 一 台 乃 至 全 部 的 EIGRP 
路 由 器 上 , 注意 EIGRP 通常 会 在 它们 有 类 网 络 的 边界 处 自动 实现 汇总 , 这 样 可 以 大 旺 缩减 路 由 选择 表 
的 尺寸 。 图 9-2 给 出 了 一 个 运行 EIGRP 的 路 由 器 是 如 何 看 待 这 一 网 络 以 及 如 何 进行 边界 自动 汇总 的 。 
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172.16.10.7 16.10.2/24 172. 16.20.2/24 
172.16.10.0/24 172.16.20.0/24 


172.16.10.1/2 


172.16.20.1 


S0 一 一 一 S0 
10.3.1.1/24 10.3.1.0/24 10.3.1.2/24 


网 络 172.16.0.0 网 络 172.16.0.0 
在 这 里 | | 


图 9-2 EIGRP 的 自动 汇总 
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显然 ， 在 默认 情况 下 ， 这 个 网 络 是 决 不 可 能 正常 工作 的 ! 注意 ， 默 认 情况 下 RIPv1 和 RIPv2 也 会 
在 这 些 有 类 边界 上 完成 自动 汇总 ， 而 OSPF 则 不 会 。 


9.2.3 ”路 由 发 现 和 维护 


EIGRP 的 混合 优势 在 路 由 发 现 和 管理 过 程 得 到 了 充分 展现 。 正 如 许多 链 路 状态 协议 , EIGRP 支持 邻 
居 的 概念 , 也 是 通过 Hello 过 程 来 发 现 邻居 ， 并 对 邻居 状态 进行 监测 。 同 时 也 与 许多 距离 矢量 协议 一 样 ， 
EIGRP 也 使 用 了 之 前 介绍 的 传言 路 由 机 制 ， 大 部 分 路 由 器 不 会 得 到 最 初始 的 路 由 更 新 数据 。 这 些 路 由 器 
对 更 新 数据 的 了 解 可 能 来 自 另 一 台 路 由 器 ， 而 这 一 台 又 可 能 是 从 其 他 路 由 器 上 得 到 的 。 

EIGRP 路 由 器 必须 收集 大 量 的 信息 ， 这 将 会 导致 一 个 问题 ， 它 们 必须 有 空间 来 保存 这 些 信 息 。 
EIGRP 使 用 了 一 系列 的 表 来 保存 这 些 与 环境 相关 的 重要 信息 。 

口 邻居 关系 表 通常 又 称 为 邻居 表 ， 记 录 已 建立 好 邻居 关系 的 路 由 器 的 相关 信息 。 

口 拓扑 表 保存 着 来 自 每 个 邻居 的 有 关 互 联网 络 中 各 个 路 由 描述 的 路 由 通告 。 

口 路 由 表 保存 当前 正在 使 用 的 用 于 路 由 判断 的 路 由 。 对 于 每 个 由 EIGRP 支持 的 协议 所 产生 的 

每 个 表 ， 这 里 都 保存 有 一 个 独立 的 副本 (实例 )， 这 些 协议 可 以 是 于 或 IPv6。 

在 正式 开始 进行 对 EIGRP 的 简易 配置 之 前 ， 现 在 再 来 讨论 一 下 EIGRP 的 度量 。 

1. EIGRP 的 度量 

与 许多 其 他 的 只 使 用 单一 要 素来 比较 并 选择 最 佳 可 用 路 径 的 协议 不 同 , EIGRP 使 用 了 一 个 由 4 个 
要 素 组 成 的 度量 ， 即 所 谓 的 合成 度量 : 

口 带宽 

， 口 延迟 

口 可 靠 性 

口 负载 

默认 情况 下 ，EIGRP 只 使 用 带宽 和 线路 的 延迟 来 判定 到 达 远 程 网 络 的 最 佳 路 径 。 有 时 思科 喜欢 称 
它们 为 路 径 带 宽 值 和 线路 延迟 累积 值 。 

另外 ， 值 得 注意 的 是 ， 还 有 第 5 个 元 素 ， 最 大 传输 单元 (MTU ) 尺寸 。 这 个 元 素 在 EIGRP 的 度 
量 计算 中 从 没有 被 用 到 过 , 但 是 在 一 些 与 EIGRP 相关 的 命令 中 , 它 是 一 个 必需 的 参数 , 特别 是 那些 涉 
及 再 发 布 的 命令 。MTU 元 素 的 值 表 示 去 往 目 的 网 络 过 程 中 所 遇 到 的 最 小 MTU 值 。 

2. 最 大 路 径 数 和 跳 计 数 

默认 情况 下 ，EIGRP 可 以 最 多 支持 到 4 条 链 路 的 等 代价 的 负载 均衡 (RIP 也 可 以 做 到 )。 然 而 , 通 
过 使 用 下 列 命令 ， 可 以 使 EIGRP 实际 用 于 实现 负载 均衡 的 链 路 〈 平衡 或 不 平衡 的 ) 数量 达到 16: 

Ri(config)#router eigrp 10 

R1(Cconfig-router )#maximum-paths ? 

<1-16> Number of paths 

此 外 ，EIGRP 默认 的 最 大 跳 计数 值 为 100， 但 它 可 以 被 设置 到 255。 通 常 不 需要 修改 这 个 值 ,但 
是 如 果 需 要， 可 以 这 样 做 : 

RiCconfig)#router eigrp 10 

RiCconfig-router)#metric maximum-hops ? 

<1-255> Hop count 
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从 路 由 器 输出 中 可 以 看 到 ，EIGRP 可 以 设置 的 最 大 跳 数 为 255， 注 意 ， 尽 管 在 路 径 度 量 计算 中 不 
使 用 跳 计数 ， 但 路 由 器 仍 会 使 用 这 个 最 大 跳 计数 来 限制 AS 的 范围 。 


9.3 配置 EIGRP 


虽然 EIGRP 可 以 针对 IP、IPv6、IPX 和 AppleTakk 进行 配置 , 作为 未 来 的 思科 认证 的 网 络 工程 师 ， 
在 这 里 只 需 关 注 在 下 上 进行 的 配置 。 

根据 EIGRP 命令 的 使 用 可 以 有 两 种 配置 模式 : 路 由 器 配置 模式 和 接口 配置 模式 。 路 由 器 配置 模 
式 用 于 启用 该 协议 、 确 定 运行 EIGRP 的 网 络 ， 并 完成 全 局 参数 的 设置 。 接 口 配置 模式 用 于 定制 汇总 
和 带宽 。 

要 在 路 由 器 上 启动 一 个 EIGRP 会 话 , 可 以 使 用 router eigrp 命令 , 并 在 其 后 指定 网 络 的 自治 系 
统 号 。 然 后 ， 使 用 带 有 网 络 号 的 network 命令 ， 输 入 连接 到 此 路 由 器 的 网 络 号 。 

下 面 来 看 一 个 在 路 由 器 上 启用 EIGRP 的 示例 ， 所 使 用 的 自治 系统 号 为 20， 这 个 路 由 器 连接 两 个 
网 络 10.3.1.0/24 和 172.16.10.0/24: 

Router#config t 

Router(config)#router eigrp 20 

Router(config-router)#network 172.16.0.0 

Router(Cconfig-router)#network 10.0.0.0 

记 住 ， 与 使 用 RIP 相同 ， 这 里 使 用 的 是 有 类 的 网 络 地 址 ， 即 掩 码 中 所 有 的 子 网 和 主机 位 都 为 0。 
这 也 正 是 EIGRP 的 伟大 之 处 ， 它 既 有 链 路 状态 协议 后 台 运 行 的 复杂 性 ， 同 时 也 具备 了 RIP 配置 的 简 
捷 性 。 


应 该 注意 到 ， 在 这 里 AS 号 的 具体 数值 是 什么 不 重要 ， 重 要 的 是 所 有 的 路 由 器 
注意 ” 都 要 使 用 这 个 相同 的 数值 ! 这 个 数值 可 以 取 1 到 65 536 中 的 任何 一 个 。 


如 果 需 要 在 指定 的 接口 上 停止 EIGRP 的 运行 ， 例 如， 一 个 FastEthernet 接口 或 者 是 一 个 连接 到 因 
特 网 的 串 行 接口 。 要 完成 这 一 操作 ， 需 要 使 用 passive-interface interface 命令 ， 将 此 接口 标记 
为 被 动 ， 正如 在 第 8 章 中 所 讨论 的 对 RIP 配置 的 那样 。 下 面 的 命令 就 给 出 了 如 何 将 接口 serial 0/1 标记 
为 被 动 接口 : 

Router(config)#router eigrp 20 

Router(Cconfig-router)#passive-interface serial 0/1 

完成 这 个 配置 将 会 禁止 此 接口 发 送 或 接收 Hello 数据 包 , 这 样 做 的 结果 , 将 会 阻止 形成 邻居 关系 。 
这 就 意味 着 在 这 个 接口 上 不 能 再 发 送 或 接收 路 由 信息 了 。 

OK ， 现 在 来 将 第 8 章 中 用 RIP 和 RIPv2 配置 过 的 同一 个 网 络 再 配置 一 下 。 由 于 EIGRP 的 AD 为 
90， 因 此 ， 在 不 考虑 带宽 消耗 和 CPU 周期 占用 的 情况 下 ， 不 用 担心 RIPv2 运行 造成 的 影响 ( 其 原因 
与 静态 路 由 的 一 样 )。 注 意 ， 示 例 中 的 静态 路 由 其 AD 已 经 改 为 180， 而 RIP 则 仍 为 120， 因 此 ， 只 有 
EIGRP 的 路 由 会 出 现在 路 由 表 中 ， 尽 管 此 时 RIP 和 静态 路 由 选择 也 仍 都 在 使 用 中 。 
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命令 passive-interface 的 影响 取决 于 命令 执行 时 所 涉及 的 路 由 选择 协议 。 
注意 例如， 某 个 接口 上 运行 的 是 RIP, 此 passive-interface 命令 将 禁止 路 由 更 新 的 发 
送 ， 但 允许 对 路 由 更 新 的 接收 。 因 而 ， 带 有 被 动 接口 的 RIP 路 由 器 仍然 可 以 从 其 他 
路 由 器 的 通告 中 认识 网 络 。 这 与 EIGRP 是 不 同 的 ， 在 EIGRP 中 一 个 被 动 的 接口 既 
不 可 以 发 送 更 新 也 不 可 以 接收 更 新 。 


图 9-3 给 出 了 我 们 曾经 配置 过 的 网 络 ， 这 里 我 们 将 使 用 EIGRP 对 它 再 次 进行 配置 。 


WWW Email DNS 


192.168.10.0 
192.168.20.0 
192.168.30.0 


财务 部 ”市场 部 销售 部 人 力 资源 部 
图 9-3 ”我们 的 互联 网 


下 面 作为 提示 ， 表 9-1 中 给 出 了 每 个 接口 上 正在 使 用 的 下地 址 。 
表 9-1 此 IP 网 络 的 网 络 地 址 


路 由 器 网 络 地 址 接 口 地 址 
Corp 
Com 10.1.1.0 Vlanl (交换 机 卡 ) 10.1.1.1 
Comp 10.1.2.0 S0/0/0 10.1.2.1 
Corp 10.1.3.0 S0/0/1(DCE) 10.1.3.1 
Corp 10.1.4.0 S0/1/0 10.1.4.1 


Corp 10.1.5.0 FO/0 10.1.5.1 
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.〈 续 ) 
路 由 器 网 络 地 址 接 口 地 址 

Ri 

Rl 10.1.2.0 SO0/0/0 (DCE) 10.1.2.2 

R1 10.1.3.0 S0/0/1 10.1.3.2 
Rl 192.168.10.0 F0/0 192.168.10.1 
R1 192.168.20.0 FO/1 192.168.20.1 
R2 

R2 10.1.4.0 S0/0/0 (DCE) 10.1.4.2 

R2 192.168.30.0 FO0/0 192.168.30.1 
R2 192.168.40.0 FO/1l 192.168.40.1 
R3 

R3 10.1.5.0 FO0/0 10.1.5.2 
R3 172.16.10.0 Dotl1Radio0/0/0 (无线 ) 172.16.10.1 


在 这 个 互联 网 络 中 配置 EIGRP 确实 是 一 件 非常 容易 的 事 ， 这 也 正 是 EIGRP 的 可 爱 之 处 。 
9.3.1 Corp 


正如 下 面 路 由 器 的 输出 所 示 ，AS 号 可 以 取 从 1 到 65 535 中 的 任何 一 个 数字 。 可 以 根据 需要 将 一 
台 路 由 器 配置 为 多 个 AS 中 的 成 员 ， 但 是 考虑 到 本 书 的 实际 需要 ， 这 里 只 将 路 由 器 配置 到 一 个 单一 的 


”AS 中 : 


Corp#config t 
Corp(config)#router eigrp ? 
<1-65535> Autonomous system number 


CorpCconfig)#router eigrp 10 

Corp(config-router)#network 10.0.0.0 

命令 router eigrp [as] 可 在 此 路 由 器 上 启用 EIGRP 路 由 选择 。 与 RIPvV1 的 配置 方式 一 样 ， 在 
这 里 也 需要 添加 想 要 通告 的 有 类 网 络 号 。 但 是 与 RIP 不 同 ，EIGRP 通常 使 用 无 类 的 路 由 选择 ， 但 仍 将 
被 配置 为 有 类 的 工作 方式 。 相 信 你 对 无 类 的 含义 还 是 有 印象 的 ， 无 类 要 求 子 网 掩 码 的 信息 要 随 路 由 选 
择 更 新 一 同 发 送 (RIPv2 就 是 无 类 协议 )。 


9.3.2 RI1 


， 要 配置 Rl 路 由 器 ， 所 需要 做 的 也 是 使 用 AS 10 来 启用 EIGRP 路 由 选择 ， 并 按 如 下 方式 添加 网 
络 号 : 
Ri#config t 
Enter configuration commands, one per line. End with CNTL/Z., 
RiCconfig)#router eigrp 10 
R1Cconfig-router)#network 10.0.0.0 
R1Cconfig-router)# 
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%DUAL-5-NBRCHANGE: IP-EIGRP 10:; Neighbor 10.1.2.1 (Serial0/0/0) is up: 
new adjacency 


%DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 10.1.3.1 (Seria1i0/0/1) is up: 
new adjacency 


R1Cconfig-router)#network 192.168.10.0 
Rl(config-router)#network 192.168.20.0 


路 由 器 Ri 将 发 现 它 的 邻居 Corp， 这 两 个 路 由 器 是 相 邻 的 ! 注意 ， 它 会 发 现 有 两 条 连接 链 路 存在 
于 路 由 器 之 间 。 这 应 该 是 一 件 好事 。 


9.3.3 R2 


要 配置 R2 路 由 器 ， 所 需要 做 的 也 就 是 再 次 使 用 AS 10 来 启用 EIGRP: 
R2#config t 

Enter configuration commands, one per line. End with CNTL/Z. 
R2Cconfig)#router eigrp 10 

R2Cconfig-router)#network 10.0.0.0 

R2Cconfig-router )## 

%DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 10.1.4.1 (Serial0/0/0) is up: 
new adjacency 


R2Cconfig-router)#network 192.168.30.0 
R2Cconfig-router)#network 192.168.40.0 


是 的 ， 就 这 么 简单 ! 大 多 数 的 路 由 选择 协议 在 配置 时 都 是 相当 简单 的 ，EIGRP 也 不 例外 。 当 然 ， 
这 些 配置 也 只 是 最 基本 的 配置 。 


9.3.4 R3 
对 R3 路 由 器 的 配置 ， 同 样 ， 所 有 需要 做 的 就 是 使 用 AS 10 来 启用 EIGRP: 


R3#config 七 

Enter configuration commands, one per line. End with CNTL/Z. 
R3(Cconfig)#router eigrp 10 

R3Cconfig-router)#network 10.0.0.0 

R3(config-router )# 

%DUAL-5-NBRCHANGE: IP-EIGRP 10: Neighbor 10.1.5.1 (FastEthernet0/0) is 
up: new adjacency 


R3Cconfig-router)#network 172.16.0.0 
至 此 ， 基 本 的 配置 就 完成 了 。 
这 样 配 置 的 结果 看 上 去 似乎 相当 单一 ， 但 是 需要 记 住 的 是 ，EIGRP 的 AD 在 这 里 是 最 低 的 ， 因 而 
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路 由 选择 表 中 将 只 会 出 现 直接 的 连接 和 由 EIGRP 发 现 的 路 由 。 但是, 由 于 RIP 也 运行 在 后 台 , 它 不 仅 
要 消耗 掉 路 由 器 更 多 的 内 存 和 CPU 处 理 时 间 ， 而 且 还 会 从 所 有 的 链 路 中 占用 宝贵 的 带宽 资源 ! 这 绝 
对 不 是 什么 好 事 ， 因 此 需要 将 它 牢 记 在 心 。 

下 面 来 检 看 一 下 Corp 的 路 由 选择 表 : 


Corp#sh ip route 


10.0.0.0/24 is subnetted, 5 subnets 


CY 


10.1.1.0 is directly connected, Vilanl 

10.1.2.0 is directly connected, Serial0/0/0 
10.1.3.0 is directly connected, Serial10/0/1 
10.1.4.0 is directly connected, Serial0/1/0 
10.1.5.0 is directly connected, FastEthernet0/0 


172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
D 172.16.0.0/16 [90/28160] via 10.1.5.2, 00:01:48, FastEthernet0/0 
S 172.16.10.0/24 [150/0] via 10.1.5.2 


D 192 .168.10.0/24 
D 192 .168.20.0/24 
D 192 .168.30.0/24 


D 192.168.40.0/24 
Corp# 


[90/2172416] via 10.1.3.2, 00:05:07,，Serial0/0/1 
[90/2172416] via 10.1.2.2, 00:05:07，Serial0/0/0 
[90/2172416] via 10.1.2.2, 00:05:04,，Serial0/0/0 
[90/2172416] via 10.1.3.2， 00:05:04，Serial0/0/1 
[90/20514560] via 10.1.4.2，00:03:32，Serial0/1/0 
[90/20514560] via 10.1.4.2, 00:03:29, Serial0/1/0 


很 好 ， 所 有 的 路 由 都 出 现 了 ,“D” 是 指 DUAL。 再 来 看 一 下 R2 的 路 由 选择 表 : 


R2#sh ip route 
Foutput cut] 


10.0.0.0/8 is variably subnetted，6 subnets, 2 masks 


器 人 NN 人 ODoDO 


10.0.0.0/8 is a summary, 00:02:27, Null0 

10.1.1.0/24 [90/27769856] via 10.1.4.1, 00:02:31, Serial0/0/0 
10.1.2.0/24 [90/2681856] via 10.1.4,1, 00:02:31, Serial0/0/0 
10.1.3.0/24 [90/2681856] via 10.1.4.1, 00:02:31, Serial0/0/0 
10.1.4.0/24 is directly connected, Serial0/0/0 

10.1.5.0/24 [90/2172416] via 10.1.4.1, 00:02:31, Serial0/0/0 


172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
172.16.0.0/16 [90/2172416] via 10.1.4.1, 00:00:42, Serial0/0/0 
172.16.10.0/24 [150/0] via 10.1.4.1 


D 
S 
D 192.168.10.0/24 
D 192.168.20.0/24 
C 


[90/2684416] via 10.1.4.1, 00:02:31,，Serial0/0/0 
[90/2684416] via 10.1.4.1, 00:02:31, Serial0/0/0 


192.168.30.0/24 js directly connected, FastEthernet0/0 
C 192.168.40.0/24 is directly connected, FastEthernet0/1 


R2# 


在 这 里 可 以 看 到 在 此 路 由 选择 表 中 的 所 有 路 由 ， 其 中 也 包括 了 到 达 172.16.10.0 网 络 的 额外 路 由 。 


下 面 我 们 就 来 处 理 这 个 问题 ! 
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9.3.5 ”配置 不 连续 网 络 


关于 自动 汇总 这 里 仍然 还 有 一 些 需 要 再 了 解 的 相关 配置 。 还 记得 图 9-2 中 是 如 何 描述 EIGRP 怎样 
自动 地 在 不 连续 的 网 络 上 实现 边界 汇总 的 ? 再 回去 看 一 下 这 张 图 ,下 面 将 给 出 一 个 使 用 EIGRP 来 配置 
这 两 个 路 由 器 的 示例 。 

在 图 9-1 中 ， 路 由 器 Lab A 连接 了 网 络 172.16.10.0/24 和 主干 10.3.1.0/24。 路 由 器 Lab_B 连接 了 
网 络 172.16.20.0/24 和 主干 10.3.1.0/24。 上 默认 情况 下 ,两 个 路 由 器 都 会 对 此 有 类 边界 进行 自动 汇总 , 但 
是 得 到 的 路 由 选择 将 是 不 可 用 的 。 下 面 的 配置 就 可 以 让 这 一 网 络 正常 地 运转 起 来 : 

Lab A#config t 

Lab A(config)#router eigrp 100 

Lab_A(config-router)#network 172.16.0.0 

Lab A(config-router)#network 10.0.0.0 

Lab A(config-router)#no auto-summary 


Lab_B#config t 

Lab BCconfig)#router eigrp 100 
Lab_B(config-router)#network 172.16.0.0 
Lab BC(config-router)#network 10.0.0.0 
Lab_B(Cconfig-router)#no auto-summary 


由 于 这 里 使 用 了 no auto-summary 命令 ，EIGRP 将 会 在 这 两 个 路 由 器 之 间 通 告 所 有 的 子 网 。 但 
是 如 果 这 个 网 络 很 大 ， 那 么 就 需要 在 这 些 相同 边界 上 手工 汇总 。 

在 了 解 了 这 些 内 容 之 后 , 再 回来 看 一 下 Corp 路 由 器 为 什么 会 为 网 络 172.16.0.0 显示 额外 路 由 ? 在 
R3 上 进行 的 配置 应 该 是 这 样 的 : 

R3(Cconfig)#router eigrp 10 

R3Cconfig-router)#network 10.0.0.0 

R3Cconfig-router)#network 172.16.0.0 

对 于 172.16.0.0 之 这 ， 实 际 上 有 两 个 解释 。R3 上 存在 一 个 从 网 络 10.0.0.0 到 网 络 172.16.0.0 的 相 
当 明确 的 有 类 边界 ， 它 将 对 这 一 边界 进行 自动 汇总 。 对 此 这 一 互联 网 络 中 的 其 他 路 由 器 也 会 做 同样 处 
理 。 来 看 一 下 在 R1 上 的 情形 : 

R1#sh ip route 

10.0.0.0/8 is variably subnetted, 6 subnets，2 masks 
10.0.0.0/8 is a summary, 00:10:14, Null0 


D 10.1.1.0/24 [90/27769856] via 10.1.2.1, 00:10:18, Serial0/0/0 
[90/27769856] via 10.1.3.1, 00:10:18, Serial0/0/1 

C 10.1.2.0/24 is directly connected, Serial0/0/0 

C 10.1.3.0/24 is direct1y connected, Serial0/0/1 

D 10.1.4.0/24 [90/21024000] via 10.1.2.1, 00:10:18, Serial0/0/0 
[90/21024000] via 10.1.3.1, 00:10:18,， Serial0/0/1 

D 10.1.5.0/24 [90/2172416] via 10.1.2.1, 00:10:18, Serial0/0/0 


[90/2172416] via 10.1.3.1, 00:10:18, Serial0/0/1 
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172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 
D 172.16.0.0/16 [90/2172416] via 10.1.3.1, 00:06:54, Serial0/0/1 
[90/2172416] via 10.1.2.1, 00:06:54, Serial0/0/0 

172.,16.10.,0/24 [150/0] via 10.1.3.1 

192.168.10.0/24 is directly connected, FastEthernet0/0 

192 ,168.20.0/24 is directly connected, FastEthernet0/1 
192.168.30.0/24 [90/21026560] via 10.1.2.1, 00:08:38, Serial0/0/0 
[90/21026560] via 10.1.3.1, 00:08:38, Serial0/0/1 
D 192.168.40.0/24 [90/21026560] via 10.1.3.1, 00:08:35, Serial0/0/1 
[90/21026560] via 10.1.2.1, 00:08:35,Serial0/0/0 


b= Bk WE 6 


R1# 

很 好 , 在 这 里 也 可 以 看 到 172.16.0.0 的 问题 , 但 R1 路 由 器 正在 将 10.0.0.0 网 络 汇 总 到 FastEthernet 
的 链 路 上 ， 如 果 这 个 互联 网 络 上 不 存在 不 连续 的 网 络 连接 ， 那 么 这 未 必 会 成 为 一 个 问题 ， 下 面 我 们 就 
将 这 个 网 络 上 的 自动 汇总 功能 关闭 掉 : : 

Corp#config t 

Corp(config)#router eigrp 10 

Corp(config-router)#no auto-summary 


RI#conf1ig 七 
RICConfig)#router eigrp 10 
Ril(config-router)#no auto-summary 


R2#config 七 
R2(config)#router eigrp 10 
R2(config-router)#no auto-summary 


R3#config t 
R3(Cconfig)#router eigrp 10 
R3Cconfig-router)#no auto-summary 


这 时 ， 再 来 看 一 下 Corp 上 的 路 由 选择 表 、 

10.0.0.0/24 is subnetted, 5 subnets 

C 10.1.1.0 is directly connected, Vlanl 

C 10.1.2.0 is diréctly connected, Serial0/0/0 

C 10.1.3.0 is directly connected, Serial0/0/1 

C 10.1.4.0 is directly connected, Serial0/1/0 

C 10.1.5.0 is directly connected, FastEthernet0/0 

172.16.0.0/24 is subnetted, 1 subnets 

D 172.16.10.0 [90/28160] via 10.1.5.2, 00:03:18, FastEthernet0/0 

D 192.168.10.0/24 [90/2172416] via 10.1.3.2, 00:03:19, Serial0/0/1 
[90/2172416] via 10.1.2.2, 00:03:19，Serial0/0/0 

D 192 .168.20.0/24 [90/2172416] via 10.1.3.2, 00:03:19， Serial0/0/1 
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[90/2172416] via 10.1.2.2, 00:03:;19,，Serial10/0/0 
D 192 .168.30.0/24 [90/20514560] via 10.1.4.2，00:03:19,Serial10/1/0 
D 192.168.40.0/24 [90/20514560] via 10.1.4.2，00:03:19，Seriali0/1/0 
Corp# | 


注意 ， 那 个 神秘 的 链 路 消失 了 ， 下 面 再 来 看 一 下 Rl1 上 的 路 由 表 : 
10.0.0.0/24 is subnetted, 5 subnets 


D 10.1.1.0 [90/27769856] via 10.1.3.1, 00:03:50，Serial0/0/1 
[90/27769856] via 10.1.2.1, 00:03:50，Serial10/0/0 

C 10.1.2.0 is directly connected, Serial0/0/0 

C 10.1.3.0 is directly connected, Serial0/0/1 

D 10.1.4.0 [90/21024000] via 10.1.3.1, 00:03:50，Serial0/0/1 
[90/21024000] via 10.1.2.1, 00:03:50，Serial10/0/0 

D 10.1.5.0 [90/2172416] via 10.1.3.1, 00:03:50, Serial0/0/1 


[90/2172416] via 10.1.2.1, 00:03:50,Serial0/0/0 
172.16.0.0/24 is subnetted, 1 subnets 
D 172.16.10.0 [90/2172416] via 10.1.3.1, 00:03:49, Serial0/0/1 
[90/2172416] via 10.1.2.1, 00:03:49,，Serial0/0/0 
C 192 .168.10.0/24 is directly connected, FastEthernet0/0 
C 192.168.20.0/24 is directly connected, FastEthernet0/1 
D 192.168.30.0/24 [90/21026560] via 10.1.2.1, 00:03:50, Serial0/0/0、 
[90/21026560] via 10.1.3.1, 00:;03:50,Serial0/0/1 
D 192.168.40.0/24 [90/21026560] via 10.1.2.1, 00:03:50，Serial0/0/0 
[90/21026560] via 10.1.3.1, 00:03:50,，Serial0/0/1 
R1# 
这 时 Rl 没有 再 对 10.0.0.0 网 络 进行 自动 汇总 。 是 的 , 如 果 这 里 不 存在 不 连续 的 网 络 连接 , 这 个 问 
题 也 就 不 会 出 现 。 这 样 ， 我 们 也 不 会 有 问题 需要 处 理 ; 只 要 在 此 之 后 我 们 可 以 杜绝 不 正确 地 扩容 网 络 
或 添加 不 连续 的 网 络 ， 尽 管 Corp 路 由 器 上 仍 会 存在 一 个 神秘 的 路 由 ， 但 这 个 网 络 就 能 正常 运转 ， 并 
且 网 络 中 的 自动 汇总 也 会 工作 正常 。 还 记得 在 第 8 章 开 始 时 所 讨论 过 的 最 长 匹配 原则 吗 ? 我 们 再 来 深 
人 探讨 一 下 。 
与 172.16.10.0 进行 最 长 匹配 ， 显 然 172.16.10.0 要 比 172.16.0.0 具有 更 好 的 匹配 度 ， 同 时 Corm、 
R1 和 R2 每 个 路 由 器 都 会 有 一 个 指向 R3 的 静态 路 由 ， 而 这 一 路 由 的 AD 为 150。 然 而 ，R3 曾经 一 直 
在 通告 汇总 后 的 172.16.0.0 与 它 是 直接 连接 的 ， 因 此 路 由 选择 表 中 会 同时 保存 这 两 个 表 项 。 一 旦 将 自 
动 汇总 关闭 , 带 有 和 较 低 AD 的 172.16.10.0 路 由 和 静态 路 由 都 会 从 路 由 选择 表 中 隐 去 。 如 果 在 我 们 的 互 
联网 络 中 存在 一 个 不 连续 的 网 络 ，RIPv2 和 EIGRP 都 无 法 正常 地 进行 工作 ， 除 非 在 配置 中 使 用 了 no 


auto-summary 命令 。 


9.4 使 用 EIGRP 进行 负载 均衡 


你 可 能 已 经 了 解 了 , 在 默认 情况 下 EIGRP 能 在 多 达 4 条 相同 代价 的 链 路 上 进行 负载 均衡 。 但 你 是 
否 还 记得 , 我 们 可 以 配置 EIGRP 在 多 达 16 条 具备 相同 /不 相同 代价 的 链 路 上 实现 到 达 远 端 网 络 的 负载 
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均衡 ? 是 的 ， 这 是 可 行 的 ， 下 面 来 看 一 下 在 路 由 器 Corp 和 及 1 上 已 经 运行 的 负载 均衡 。 首 先 ， 查 看 一 
下 RI 上 的 路 由 选择 表 ， 并 确认 EIGRP 已 经 找到 了 路 由 器 之 间 的 两 条 链 路 : 
Ri#sh ip route 
10.0.0.0/24 is subnetted, 5 subnets 


D 10.1.1.0 [90/27769856] via 10.1.3.1, 00:21:30,，Seriali0/0/1 
[90/27769856] via 10.1.2.1, 00:21:30，Seria10/0/0 
C 10.1.2.0 is directly connected, Serial0/0/0 
10.1.3.0 is directly connected, Serial0/0/1 
D 10.1.4.0 [90/21024000] via 10.1.3.1, 00:21:30,，Serial0/0/1 
[90/21024000] via 10.1.2.1, 00:21:30，Serial0/0/0 
D 10.1.5.0 [90/2172416] via 10.1.3.1, 00:21:30, Serial0/0/1 


[90/2172416] via 10.1.2.1, 00:21:30,，Serial10/0/0 
172.16.0.0/24 is subnetted, 1 subnets 
D 172.16.10.0 [90/2172416] via 10.1.3.1, 00:21:29, Serial0/0/1 
[90/2172416] via 10.1.2.1, 00:21:29, Serial0/0/0 

C 192 .168.10.0/24 is directly connected, FastEthernet0/0 

C 192.168.20.0/24 is directly connected, FastEthernet0/1 

D 192.168.30.0/24 [90/21026560] via 10.1.2.1, 00:21:30，Serial10/0/0 

[90/21026560] via 10.1.3.1, 00:21:30,，Serial0/0/1 
D 192.168.40.0/24 [90/21026560] via 10.1.2.1, 00:;21:30,，Serial0/0/0 
[90/21026560] via 10.1.3.1, 00:21:30，Serial0/0/1 

Ri1# 

在 此 可 以 看 到 在 这 一 互联 网 络 中 通 往 每 个 远程 的 路 由 都 存在 有 两 条 链 路 ， 并 且 ， 默 认 情 况 下 
EIGRP 将 在 s0/0/0 和 s0/0/1 上 实现 负载 均衡 ， 因 为 它们 具有 相同 的 度量 。 

EIGRP 确实 提供 了 一 些 非常 好 的 功能 , 而 其 中 之 一 就 是 自动 负载 均衡 。 然 而 对 于 那些 成 束 的 链 路 
会 有 哪些 帮助 呢 ? EIGRP 人 允许 在 这 些 链 路 上 实现 负载 均衡 ， 其 实现 过 程 甚至 不 需要 额外 的 配置 ! 来 看 
一 下 这 是 如 何 实现 的 。 这 里 将 使 用 相同 的 子 网 来 对 路 由 器 Corp 和 R1 之 间 的 链 路 进行 配置 ,也 就 是 要 
将 这 两 条 链 路 的 所 有 接口 都 放 在 同一 个 子 网 当中 。 

注意 下 面 在 为 每 个 路 由 器 的 s0/0/1 进行 配置 时 将 它们 配置 到 了 10.1.2.0 网 络 中 ， 而 这 个 子 网 与 两 
个 路 由 器 的 S0/0/0 接口 所 在 的 子 网 正 是 同一 个 子 网 : 

Corp#config t 

Corp(config)#int s0/0/1 

Corp(config-if)#ip address 10.1.2.4 255.255.255.0 


Rl#config t 

Ri(config)#int s0/0/1 

Ri(config-if)#ip address 10.1.2.3 255.255.255.0 
RliCconfig-if)#do show run | begin interface 
interface Serial0/0/0 

description 1st Connection to Corp Router 
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ip address 10.1.2.2 255.255.255.0 

! 

interface Serial0/0/1 

description 2nd connection to Corp Router 
ip address 10.1.2.3 255.255.255.0 


现在 两 条 链 路 的 4 个 接口 都 处 在 同一 个 子 网 中 。 


Ri#sh ip route 
10.0.0.0/24 is subnetted, 5 subnets 


D 10.1.1.0 [90/27769856] via 10.1.2.3, 00:21:;30,，Serial0/0/1 
[90/27769856] via 10.1.2.1，00:21:30，Serial10/0/0 
C 10.1.2.0 is directly connected, Serial0/0/0 
is directly connected, Serial0/0/1 
D 10.1.4.0 [90/21024000] via 10.1.2.3, 00:21:30，Serial0/0/1 
[90/21024000] via 10.1.2.1, 00:21:30,，Serial0/0/0 
D 10.1.5.0 [90/2172416] via 10.1.2.3, 00:21:30,，Serial0/0/1 


[90/2172416] via 10.1.2.1, 00:21:30,Serial0/0/0 
172.16.0.0/24 is subnetted, 1 subnets 
D 172.16.10.0 [90/2172416] via 10.1.2.3, 00:21:29, Serial0/0/1 
[90/2172416] via 10.1.2.1, 00:21:29, Serial0/0/0 
C 192.168.10.0/24 is directly connected, FastEthernet0/0 
C 192.168.20.0/24 is directly connected, FastEthernet0/1 
D 192.168.30.0/24 [90/21026560] via 10.1.2.1, 00:21:30, Serial0/0/0 
[90/21026560] via 10.1.2.3, 00:21:30, Serial0/0/1 
D 192.168.40.0/24 [90/21026560] via 10.1.2.1, 00:21:30,，Serial10/0/0 
[90/21026560] via 10.1.2.3, 00:21:30,Serial0/0/1 


为 了 这 个 神奇 的 配置 能 工作 ， 首先 要 保证 的 是 开启 EIGRP。 否 则 ， 
提示 。 器 上 收 到 一 个 地 址 重合 的 错误 提示 1! 


你 会 在 路 由 


是 否 注意 到 目前 的 路 由 表 中 出 现 了 一 个 或 两 个 细微 的 变化 ? 网 络 10.1.2.0 和 10.1.3.0 之 前 都 显示 
为 单独 的 、 直 接连 接 的 接口 ， 现 在 不 再 是 了 。 目 前 只 有 10.1.2.0 网 络 显示 为 两 个 直接 连接 的 接口 ， 并 
且 路 由 器 目前 在 这 个 线路 出 现 了 一 个 3 MB 的 管道 ， 取 代 了 曾经 的 两 个 1.5 Mbit/s 的 T1 链 路 。 也 正 是 
由 于 这 样 的 变化 太 细 微 ， 所 以 没有 引起 人 们 的 注意 ! 

这 里 会 将 子 网 10.1.3.0 再 添加 回 这 个 网 络 中 ， 这 样 会 在 使 用 这 些 双 链 路 时 添加 某 些 趣味 性 。 下 面 
将 在 Corp 和 R1 的 s0/0/1 接口 上 配置 10.1.3.1/24 和 10.1.3.2/24。 现 在 10.1.3.0 又 开始 被 通告 了 ， 我 们 
玩 点 儿 新 花样 ， 修 改 10.1.3.0 链 路 的 度量 ， 再 来 看 一 下 到 底 会 发 生 什么 : 

Ri#config t 

RLCconfig)#int s0/0/1 
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RiCconfig-if)#bandwidth 256 

RiCconfig-if)#delay 300000 

Corp#config t 

CorpCconfig)#int s0/0/1 

CorpCconfig-if)#bandwidth 256 

Corp(config-if)#delay 300000 

由 于 默认 情况 下 ，EIGRP 使 用 线路 的 带宽 和 延迟 来 判断 到 达 每 个 网 络 的 最 佳 路 径 ， 这 里 降低 了 路 
由 器 Rl 和 Corp 的 s0/0/1 接口 上 的 带宽 并 增加 它 的 延迟 。 现 在 ， 我 们 再 来 检验 一 下 网 络 中 的 EIGRP ， 
并 查看 一 下 路 由 器 R1 和 Corp 之 间 的 双 链 路 现在 又 变 成 了 什么 样 。 


9.5 验证 EIGRP 


下 面 给 出 了 几 个 可 以 在 路 由 器 上 运行 的 验证 命令 , 这 些 命令 能 够 帮助 我 们 进行 故障 诊断 并 完成 对 
EIGRP 配置 的 验证 。 表 9-2 中 给 出 了 所 有 与 验证 EIGRP 操作 相关 的 重要 命令 , 并 且 对 每 个 命令 的 功能 
给 出 了 简洁 的 描述 。 


表 9-2 ”EIGRP 故 障 诊断 命令 


A 
show ip route 显示 整个 路 由 选择 表 
show ip route eigrp 只 显示 路 由 选择 表 中 的 EIGRP 表 项 
show ip eigrp neighbors 显示 所 有 的 EIGRP 邻 居 
show ip eigrp topology 显示 EIGRP 拓 扑 表 中 的 表 项 
show ip protocols 显示 路 由 选择 协议 的 配置 
debug eigrp packet 显示 相 邻 路 由 器 间 发 送 /接收 的 Hello 数 据 包 
debug ip eigrp events 显示 网 络 上 EIGRP 变 化 及 更 新 时 的 EIGRP 事 件 


由 于 EIGRP 的 配置 过 程 相当 简单 , 你 也 许 希 望 跳 过 有 关 EIGRP 验证 和 故障 排除 的 内 容 。 在 这 里 ， 
需要 再 次 提醒 的 是 ， 这 是 一 本 关于 CCENT/CCNA 的 书 ， 涉 及 路 由 选择 和 交换 的 课程 和 考试 。 其 内 容 
的 25% 是 路 由 选择 ， 而 交换 又 占 去 235%， 有 关 交 换 的 内 容 将 从 下 一 章 开始 学 习 。 而 剩 下 的 50% 中 有 
25% 是 关于 对 路 由 选择 进行 验证 和 故障 排除 的 ， 另 外 的 25% 是 关于 对 交换 的 验证 与 故障 排除 。 因 此 ， 
考虑 到 这 一 点 ， 在 这 里 我 们 仍然 需要 全 力 以 赴 地 学 好 后 续 章 节 的 内 容 。 

下 面 将 示范 如 何在 这 个 互联 网 络 上 使 用 表 9-2 中 给 出 的 命令 。 

王 面 的 路 由 器 输出 是 来 自 示例 中 Corp 路 由 器 的 输出 : 

Corp#sh ip route 
10.0.0.0/24 is subnetted，5 subnets 

10.1.1.0 is directly connected，V1an1 

10.1.2.0 is directly connected, Serial0/0/0 
10.1.3.0 is directly connected, Serial0/0/1 
10.1.4.0 is directly connected, Serial0/1/0 
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< 10.1.5.0 is directly connected, FastEthernet0/0 
172.16.0.0/24 is subnetted, 1 subnets 

D 172.16.10.0 [90/28160] via 10.1.5.2, 01:00:11, FastEthernet0/0 
D 192.168.10.0/24 [90/2172416] via 10.1.2.2, 01:00:12,，Serial10/0/0 
D 192.168.20.0/24 [90/2172416] via 10.1.2.2, 01:00:12，Serial0/0/0 
D 192.168.30.0/24 [90/20514560] via 10.1.4.2，01:00:12, Serial0/1/0 
D 192.168.40.0/24 [90/20514560] via 10.1.4.2, 01:00:12, Seria1i0/1/0 
Corp# 


在 这 里 给 出 了 路 由 表 中 的 所 有 路 由 ( 10.1.3.0 再 次 显示 为 直接 连接 )， 并 且 对 于 每 个 远程 网 络 目前 
都 只 有 一 个 链接 ! 注意 , 这 里 的 EIGRP 路 由 都 简单 地 使 用 了 一 个 DD 标识 (DUAL ) 来 表示 ,并且 这 些 
路 由 的 默认 AD 都 是 90。 这 表明 它们 都 是 内 部 的 EIGRP 路 由 。 下 面 再 来 看 一 下 R1 路 由 器 上 修改 了 度 
量 的 路 由 表 : 


R1#sh ip route 


局 局 六 口 


号 


R1# | 
在 Rl 路 由 器 上 ， 对 于 每 个 远程 网 络 也 都 只 有 一 个 路 由 ， 并 且 10.1.3.0 网 络 是 我 们 的 备用 链 路 。 


10.0.0.0/24 is subnetted, 5 subnets 

10.1.1.0 [90/27769856] via 10.1.2.1, 00:59:38,，Seria10/0/0 

10.1.2.0 is directly connected, Serial0/0/0 

10.1.3.0 is directly connected, Serial0/0/1 

10.1.4.0 [90/21024000] via 10.1.2.1, 00:59:38,，Serial0/0/0 

10.1.5.0 [90/2172416] via 10.1.2.1, 00:59:38, Serial0/0/0 
172.16.0.0/24 is subnetted, 1 subnets 

172.16.10.0 [90/2172416] via 10.1.2.1, 00:59:37, Serial0/0/0 
192.168.10.0/24 is directly connected, FastEthernet0/0 
192.168.20.0/24 is directly connected, FastEthernet0/1 
192.168.30.0/24 [90/21026560] via 10.1.2.1, 00:59:38, Serial0/0/0 
192.168.40.0/24 [90/21026560] via 10.1.2.1, 00:59:38, Serial0/0/0 


显然 ， 如 果 这 里 能 同时 使 用 两 条 链 路 ,效果 会 更 好 , 但 在 此 示例 中 ， 网 络 10.1.3.0 已 经 被 配置 为 备份 


链 路 。 


现在 返回 到 Corp 路 由 器 ， 去 看 一 下 它 邻 居 表 中 的 内 容 : 
Corp#sh ip eigrp neighbors 
IP-EIGRP neighbors for process 10 


H 


WNPO 


Address Interface Hold Uptime SRIT RTIO Q Seq 

(sec) (ms) Cnt Num 
10.1.5.2 Fa0/0 14 01:02:00 40 1000 0 143 
10.1.4.2 Se0/1/0 12 01:02:00 40 1000 0 114 
10.1.2.2 Se0/0/0 11 01:02:00 40 1000 0 131 
10.1.3.2 Se0/0/1 11 00:33:37 40 1000 0 132 


从 这 个 输出 中 可 以 了 解 到 的 信息 列 在 下 面 。 
Q H 字段 表明 邻居 被 发 现 的 顺序 。 
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口 hold 时 间 表 明 该 路 由 器 从 指定 邻居 那里 接收 Hello 数据 包 还 要 等 待 多 长 时 间 。 

口 uptime 指明 这 个 邻居 关系 已 经 建立 了 多 久 。 

口 SRTT 字段 是 一 个 连续 的 往返 定时 器 ， 用 于 指示 从 此 路 由 器 到 它 的 邻居 并 返回 的 往返 时 间 。 这 
个 值 常用 来 确定 组 播发 出 之 后 需要 等 待 多 长 时 间 才 能 收 到 邻居 的 应 答 。 如 果 某 个 应 答 在 指定 
的 时 间 内 没有 接收 到 ， 路 由 器 会 切换 到 单 播 来 尝试 完成 这 次 通信 。 组 播 尝 试 时 间 由 以 下 几 项 
确定 : 

口 重 传 超时 (RTO ) 字段 ， 它 给 出 了 EIGRP 为 邻居 重 传 来 自重 传 队 列 的 数据 包 时 需要 等 待 的 时 
间 值 ; 

口 Q 值 ,用 于 指示 在 队列 中 是 否 存 在 异常 的 消息 ,通常 持续 出 现 较 大 取 值 都 预示 着 存在 某 个 问题 ; 

口 Seq 字段 ， 指 示 接 收 自 邻居 最 新 更 新 数据 的 序列 号 ， 用 于 管理 同步 ， 以 及 避免 信息 处 理 中 的 重 
复 或 者 错 序 。 


需要 记 住 的 是 ， 命 令 show ip eigrp neighbors 可 以 检查 IP 地 址 和 重 传 间 隔 ， 
注意 ” 以 及 已 建立 起 邻接 关系 的 邻居 队列 数 。 


下 面 使 用 命令 show ip eigrp topology 来 查看 一 下 Corp 上 的 拓扑 表 ， 这 会 是 个 有 趣 的 过 程 ! 
Corp#sh ip eigrp topology 
IP-EIGRP Topology Table for AS 10 


Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, 
r - Rep1y status 


P 10.1.1.0/24, 1 successors, FD is 25625600 
via Connected, Vlanl 
P 10.1.5.0/24, 1 successors, FD is 28160 
via Connected, FastEthernet0/0 
P 10.1.4.0/24, 1 successors, FD .js 20512000 
via Connected, Serial0/1/0 
P 10.1.3.0/24, 1 successors, FD is 76809984 
via Connected, Serial0/0/1 
P 10.1.2.0/24, 1 successors, FD is 2169856 
via Connected, Serial0/0/0 
192.168.10.0/24, 1 successors, FD is 2172416 
via 10.1.2.2 (2172416/28160), Serial0/0/0 
via 10.1.3.2 (76828160/28160), Serial0/0/1 
192.168.20.0/24, 1 successors, FD is 2172416 
via 10.1.2.2 (2172416/28160),Serial0/0/0 
via 10.1.3.2 (76828160/28160),Serial10/0/1 
192.168.30.0/24, 1 successors, FD is 20514560 
via 10.1.4.2 (20514560/28160)，Serial0/1/0 


DD 


oo 
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P 192.168.40.0/24, 1 successors, FD is 20514560 
via 10.1.4.2 (20514560/28160),Serial10/1/0 
P 172.16.10.0/24, 1 successors, FD is 28160 
via 10.1.5.2 (28160/25600), FastEthernet0/0 
注意 在 每 个 路 由 的 前 面 都 有 一 个 字母 P。P 表明 此 路 由 处 于 被 动 状 态 ， 这 是 一 件 好 事 儿 ， 因 为 某 
个 路 由 处 于 激活 状态 (A ), 则 表明 当前 的 路 由 器 已 经 失去 了 通 往 这 个 网 络 的 路 径 , 并 且 正 在 搜索 可 替 
代 的 路 径 。 每 个 表 项 还 都 给 出 了 它 指 向 远程 网 络 的 可 行距 离 ， 即 FD， 以 及 数据 包 传 递 时 需要 经 过 的 
下 一 跳 邻居 。 每 个 表 项 的 圆 括号 内 都 包含 两 个 数值 ， 其 中 第 一 个 数值 用 于 指示 可 行距 离 ， 第 二 个 则 是 
通 向 远程 网 络 的 被 通告 距离 (AD )。 
在 这 里 ， 可 以 发 现 一 些 有 趣 的 内 容 ， 注 意 ， 在 输出 路 由 192.168.10.0 和 192.168.20.0 的 下 面 ， 每 
个 网 络 都 连接 有 两 条 链 路 ， 并 且 每 条 链 路 的 可 行距 离 都 不 相同 。 这 表明 指向 这 些 网 络 的 路 径 存在 着 一 
个 继任 者 和 一 个 可 行 的 继任 者 ， 即 一 个 备份 的 路 由 ! 这 不 是 很 有 趣 的 事情 吗 ! 
我 们 来 仔细 观察 一 下 : 
P 192.168.10.0/24, 1 successors, FD is 2172416 
via 10.1.2.2 (2172416/28160)，Seria10/0/0 
via 10.1.3.2 (76828160/28160), Serial0/0/1 
P 192.168.20.0/24, 1 successors, FD is 2172416 
via 10.1.2.2 (2172416/28160), Serial10/0/0 
via 10.1.3.2 (76828160/28160), Serial0/0/1 
这 里 的 FD 就 是 可 行距 离 ， 它 是 Corp 路 由 器 到 达 该 网 络 的 代价 。 当 然 ， 对 于 它 的 AD， 即 被 通告 
距离 ， 我 们 也 应 该 给 予 关注 。 这 个 表 中 对 网 络 192.168.10.0 给 出 的 相关 描述 为 : 
via 10.1.2.2 (2172416/28160),Seria10/0/0 
via 10.1.3.2 (76828160/28160), Serial0/0/1 
对 于 这 个 s0/0/0 链 路 ,我 们 看 到 的 是 (2172416/28160 )， 其 中 第 一 个 数值 是 FD, 而 第 二 数值 则 为 
AD。 路 由 器 Ri 通告 到 达 网 络 192.168.10.0 和 192.168.20.0 所 需 的 代价 是 相同 的 ， 其 取 值 为 28160。 然 
而 ，Cor 路 由 器 需要 为 到 达 每 个 网 络 添 加 一 个 实现 代价 ， 我 们 的 FD 就 是 从 中 得 出 的 。 由 于 s0/0/1 链 
路 具有 更 低 的 带宽 和 更 高 的 延迟 ， 于 是 可 以 观察 到 s0/0/0 具有 更 低 的 FD， 因 此 只 有 这 个 路 径 可 以 被 
放 人 路 由 选择 表 中 。 
需要 记 住 的 是 ， 对 于 两 个 都 出 现在 拓扑 表 中 的 路 由 ， 只 能 有 一 个 继任 路 由 (具有 最 低 度 量 值 的 那 
个 ) 会 被 复制 并 被 放 入 路 由 选择 表 中 。 


为 了 保证 该 路 由 能 够 成 为 可 行 的 继任 者 ， 它 的 通告 距离 必须 要 比 继任 者 路 由 的 


注意 ”可 行距 离 要 小 。 


EIGR 将 可 以 自动 地 为 具有 相同 方差 ( 即 相 等 代价 ) 的 两 条 链 路 进行 负载 均衡 ， 但 是 如 果 使 用 
variance 命令 ，EIGRP 也 可 以 在 非 相 等 代价 的 链 路 上 实现 负载 均衡 。 默 认 情况 下 ， 这 个 方差 度量 被 
设置 为 1， 即 只 有 相同 代价 的 链 路 可 以 进行 负载 均衡 。 方差 的 取 值 可 以 修改 为 1 到 128 之 间 的 任意 值 。 
通过 修改 方差 取 值 ， 可 以 让 EIGRP 在 本 地 路 由 选择 表 中 放置 多 个 无 环 路 的 非 等 价 路 由 。 
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因此 从 根本 上 讲 , 如 果 方 差 被 设置 为 1, 只 有 具有 相同 度量 的 继任 者 路 由 才 会 被 安置 在 本 地 的 路 由 
选择 表 中 。 但 是 ， 比 如 说 方差 被 设置 为 2， 则 任意 一 个 由 EIGRP 了 解 的 路 由 ， 只 要 它 的 度量 小 于 等 于 
继任 者 度量 值 的 两 倍 ， 它 就 可 以 会 被 安置 到 本 地 的 路 由 选择 表 中 ( 当然 ， 这 一 路 由 已 经 是 一 个 可 行 的 
继任 者 )。 注意 这 是 一 个 相对 复杂 的 配置 , 在 开始 使 用 variance 命令 进行 配置 时 一 定 要 特别 小 心 谨 慎 。 

在 开始 使 用 debug 命令 之 前 ， 来 运行 一 下 最 后 一 个 show 命令 ， 即 show ip protocols 命令 。 
它 可 以 给 出 在 路 由 器 上 所 有 已 配置 的 路 由 选择 协议 的 信息 ， 这 里 我 们 只 关心 EIGRP 给 出 的 内 容 : 


Corp#sh ip protocols 


Routing Protocol is "eigrp 10 °° 
Outgoing update filter 1ist for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Default networks flagged in outgoing updates 
Default networks accepted from incoming updates 
EIGRP metric weight K1=1，K2=0，K3=1，K4=0，K5=0 
EIGRP maximum hopcount 100 
EIGRP maximum metric variance 1 
Redistributing: eigrp 10 
Automatic network summarization is in effect 
Automatic address summarization: 
Maximum path: 4 
Routing for Networks: 


10.0.0.0 

Routing Information Sources: 
Gateway Distance Last Update 
10.1.5.2 90 40 
10.1.3.2 90 6867 
10.1.2.2 90 6916 
10.1.4.2 90 8722 

Distance: internal 90 external 170 

Corp# 


从 show ip protocols 命令 的 输出 中 ， 可 以 了 解 到 AS 号 和 被 称 为 “k” 的 度量 加 权 值 ， 默 认 情 
况 下 它 使 用 线路 的 带宽 和 延迟 来 进行 计算 。 还 给 出 了 用 于 约束 路 由 更 新 数据 包 传输 的 最 大 跳 计 数 ( 默 
认为 100 )， 以 及 方差 的 取 值 ， 在 这 里 为 1， 也 就 是 说 只 允许 等 代价 的 负载 均衡 。 而 最 大 路 径 数 4 表明 
允许 在 4 个 等 价 的 路 径 上 实现 负载 均衡 ， 也 是 默认 的 取 值 。 

这 个 时 机 不 错 ， 我 们 来 查看 一 下 debug 的 若干 输出 。 首 先 ， 使 用 debug eigrp packet 命令 ， 
它 将 给 出 相 邻 路 由 器 间 彼 此 发 送 的 Hello 数据 包 的 情况 : 

Corp#debug eigrp packet 

EIGRP: Received HELLO on Seriali0/1/0 nbr 10.1.4.2 

AS 10, Flags 0x0, Seq 115/0 idbQ 0/0 
EIGRP: Sending HELLO on Serial0/0/0 
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AS 10, Flags Ox0, Seq 148/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Received HELLO on Serial0/0/1 nbr 10.1.3.2 
AS 10, Flags Ox0, Seq 133/0 idbQ 0/0 
EIGRP: Received HELLO on Serial0/0/0 nbr 10.1.2.2 
AS 10, Flags Ox0, Seq 133/0 idbQ 0/0 
EIGRP: Received HELLO on FastEthernet0/0 nbr 10.1.5.2 
AS 10, Flags Ox0, Seq 144/0 idbQ 0/0 
EIGRP: Sending HELLO on Serial0/1/0 
AS 10, Flags Ox0, Seq 148/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Sending HELLO on Serial0/0/1 
AS 10, Flags Ox0, Seq 148/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Sending HELLO on FastEthernet0/0 
AS 10, Flags Ox0, Seq 148/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Received HELLO on Serial0/1/0 nbr 10.1.4.2 
AS 10, Flags Ox0, Seq 115/0 idbQ 0/0 
EIGRP: Sending HELLO on Vianl 
AS 10, Flags Ox0, Seq 148/0 idbQ 0/0 iidbQ un/rely 0/0 
EIGRP: Sending HELLO on Serial0/0/0 
AS 10, Flags Ox0, Seq 148/0 idbQ 0/0 iidbQ un/rely 0/0 
由 于 Corp 路 由 器 与 3 个 EIGRP 邻居 相连 ， 并 且 224.0.0.10 的 组 播 每 5 秒 钟 就 发 送 一 次 ， 因 此 得 
到 这 样 的 更 新 数据 是 很 正常 的 。Hello 数据 包 会 从 每 个 激活 的 接口 以 及 与 我 们 的 邻居 相连 接 的 所 有 接 
口上 发 出 。 注 意 , 在 更 新 数据 中 都 提供 有 AS 号 。 之 所 以 会 这 样 ， 是 因为 如 果 某 个 邻居 没有 相同 的 AS 
号 ， 那 么 它 所 发 出 的 Hello 更 新 将 直接 被 丢弃 。 
到 目前 为 止 , 本 章 已 经 介绍 了 许多 有 关 EIGRP 的 内 容 , 相信 你 不 会 止步 于 此 ! 下 面 我 们 来 一 同 进 
人 OSPF 的 世界 。 
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开放 最 短路 径 优 先 ( OSPF ) 是 一 个 开放 标准 的 路 由 选择 协议 ， 它 被 各 种 网 络 开发 商 所 广泛 使 用 ， 
其 中 也 包括 思科 。 如 果 你 所 管理 的 网 络 中 拥有 多 种 路 由 器 ， 并 且 不 都 是 思科 的 ， 那 么 就 不 能 选用 
EIGRP， 那 还 可 以 有 什么 样 的 选择 呢 ? 基 本 上 剩 下 的 并 且 又 符合 CCNA 目标 的 选项 也 只 有 RIPv1、 
RIPv2 和 OSPF 了 。 如 果 所 管理 的 又 是 一 个 大 网 络 ， 那 么 ， 真 正 可 行 的 选择 就 只 能 是 OSPF 和 所 谓 的 
路 由 再 发 布 服 务 了 ， 路 由 再 发 布 服务 是 一 种 能 在 路 由 选择 协议 之 间 提 供 转换 的 服务 。 

OSPF 是 基于 Dijkstra 算法 来 工作 的 。 首 先 ，OSPF 要 构建 一 个 最 短路 径 树 ， 然 后 使 用 最 佳 路 径 的 
计算 结果 来 组 建 路 由 选择 表 。OSPF 的 会 聚 也 很 快 ， 虽然 它 可 能 没有 EIGRP 快 ， 并 且 它 也 支持 对 相同 
目标 的 等 价 多 路 径路 由 。 与 EIGRP 一 样 ， 它 也 支持 邢 和 IPv6 被 路 由 协议 。 

OSPF 可 以 提供 对 下 列 功能 的 支持 : 

口 由 区 域 和 自治 系统 组 成 的 框架 ; 

口 最 小 化 路 由 选择 的 更 新 流量 ; 

口 允许 可 缩放 性 能 ; 
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口 支持 VLSM/CIDR; 

口 拥有 无 限 的 跳 计数 ; 

口 允许 多 开发 商 的 设备 集成 ( 开放 的 标准 )。 

OSPF 是 大 多 数 人 接触 到 的 第 一 种 链 路 状态 路 由 选择 协议 ， 因 此 ， 将 它 与 更 为 传统 的 距离 矢量 协 
议 ( 如 RIPv2 和 RIPv1 ) 进行 一 下 比较 将 会 很 有 意义 。 表 9-3 就 给 出 了 这 3 个 协议 的 一 个 比较 。 


表 9-3 OSPF 和 RIP 的 比较 


特 性 OSPF RIPv2 RIPv1 
协议 类 型 链 路 状态 距离 矢量 距离 矢量 
无 类 支持 是 是 否 
VLSM 支 持 是 是 否 
自动 汇总 否 是 是 
手动 汇总 是 是 否 
不 连续 支持 是 是 否 
路 由 传播 可 变化 的 组 播 周期 性 组 播 周期 性 广播 
路 径 度 量 宽带 跳 跳 
跳 计数 限制 无 15 15 
会 聚 快 慢 慢 
对 等 认证 是 是 否 
分 层 网 络 需 求 是 (使 用 区 域 ) 否 〈 只 是 平面 ) 否 ( 只 是 平面 ) 
更 新 事件 触发 路 由 表 更 新 路 由 表 更 新 
路 由 计算 Dijkstra Bellman-Ford Bellman-Ford 


OSPF 还 有 许多 没有 在 表 9-3 中 列 出 的 特性 ， 而 综合 所 有 的 特性 ，OSPF 就 成 为 一 个 快速 、 可 缩放 
和 高 效能 的 协议 ， 也 因此 应 用 于 数 以 千 计 的 成 品 化 网 络 中 。 

OSPF 是 以 分 层 结构 来 设计 的 ， 这 代表 你 可 以 将 大 型 的 互联 网 络 分 割 成 一 些 被 称 为 “区 域 ”的 小 
的 互联 网 络 。 这 也 正 是 OSPF 在 设计 上 的 精华 所 在 。 

将 OSPF 创建 为 层次 结构 的 原因 如 下 : 

口 减少 路 由 选择 的 开销 ; 

口 加 速 会 聚 ; 

口 将 网 络 的 不 稳定 性 限制 在 单一 的 网 络 区 域内 。 

这 种 设计 并 没有 使 配置 OSPF 变 得 简易 ， 反 而 ， 更 加 复杂 和 困难 。 

图 9-4 给 出 了 一 个 典型 的 OSPF 简易 设计 。 注 意 ， 这 里 一 部 分 路 由 器 是 如 何 连接 到 主干 网 上 的 ， 
这 个 主干 网 被 称 为 区 域 0, 或 主干 区 域 。OSPF 必须 要 有 一 个 区 域 0, 而 且 所 有 其 他 区 域 都 需要 连接 到 
这 个 区 域 。( 那些 没有 直接 连接 到 区 域 0 的 区 域 可 以 通过 使 用 虚拟 链 路 进行 连接 ， 这 部 分 内 容 超 出 了 
本 书 的 范畴 。) 那些 将 同一 AS 内 部 的 其 他 区 域 连接 到 此 主干 区 域 的 路 由 器 ， 被 称 为 区 域 边界 路 由 器 
(ABR )。 在 这 些 路 由 器 上 至 少 要 有 一 个 接口 是 必须 在 区 域 0 中 的 。 


346 第 9 章 增强 IGRP(EIGRP) 和 开放 最 短路 径 优先 (OSPF) 


主干 路 由 器 


区 域 边界 路 
由 器 (ABR) 


自治 系统 边 
路 由 器 
(ASBR) 


自治 系统 


图 9-4 ”OSPF 的 设计 示例 


OSPF 运行 在 某 个 自治 系统 内 部 , 但 是 通过 它 也 可 以 将 多 个 自治 系统 连接 起 来 。 用 于 连接 AS 的 路 
由 器 被 称 为 自治 系统 边界 路 由 器 (ASBR )。 

在 概念 上 ， 可 以 创建 网 络 的 多 个 不 同 的 区 域 来 保持 路 由 更 新 的 最 小 化 ， 并 阻止 故障 在 整个 网 络 中 
传播 ， 基 本 思路 就 是 要 将 更 新 限定 在 单一 区 域内 。 

与 EIGRP 的 内 容 安排 方式 一 样 ， 这 里 首先 介绍 OSPF 的 基本 术语 。 


9.6.1 OSPF 术语 


设想 一 下 ， 你 只 有 一 张 地 图 和 一 个 罗盘 ,但 却 对 地 图 上 标识 的 东南 西北 、 河 流 山川 、 湖 泊 沙 漠 一 
点 儿 都 不 了 解 , 在 这 样 的 情况 下 贸然 去 探险 , 这 时 你 所 面 对 的 挑战 将 会 有 多 大 ? 缺乏 相关 的 背景 知识 ， 
就 不 可 能 真正 发 挥 这 些 新 工具 的 作用 。 同 样 的 道理 ， 在 开始 探索 OSPF 之 前 ， 为 更 好 地 学 习 后 续 章 节 
的 内 容 ， 在 此 你 需要 了 解 一 长 串 的 术语 。 真 正 开 始 之 前 ， 熟 悉 下 面 这 些 重要 的 OSPF 术语 。 
口 链 路 ” 链 路 就 是 一 个 网 络 或 者 一 个 被 指定 给 任 一 给 定 网 络 的 路 由 器 接口 。 当 一 个 接口 被 添加 
到 OSPF 进程 时 ， 它 就 被 OSPF 认定 是 一 个 链 路 。 这 个 链 路 或 接口 都 将 有 一 个 与 它 关 联 的 状态 
信息 (up 或 down )， 以 及 一 个 或 多 个 PP 地址 。 
口 路 由 器 ID 路 由 器 ID (RID ) 是 一 个 用 来 标识 此 路 由 器 的 IP 地 址 。 思 科 通 过 使 用 所 有 配置 
的 环 回 接口 中 最 高 的 卫 地 址 来 选取 此 路 由 器 ID。 如 果 没 有 使 用 带 有 地 址 的 环 回 接口 进行 配置 ， 
则 OSPF 将 选取 所 有 激活 的 物理 接口 中 最 高 的 全 地 址 为 RID。 
口 邻 届 ”邻居 可 以 是 两 个 或 更 多 的 路 由 器 ， 这 些 路 由 器 的 某 个 接口 是 连接 在 同一 个 公共 网 络 
上 ， 比 如 两 个 通过 点 到 点 串 行 链 路 连接 在 一 起 的 路 由 器 。 
口 邻接 邻接 是 指 两 个 OSPF 路 由 器 之 间 的 关系 ， 这 两 个 路 由 器 之 间 人 允许 直接 交换 路 由 更 新 数 
据 。OSPF 对 共享 路 由 选择 信息 非常 讲究 , 不 像 EIGRP 那样 直接 与 自己 所 有 的 邻居 共享 路 由 信 
息 ，OSPF 只 与 建立 了 邻接 关系 的 邻居 直接 共享 路 由 信息 。 注 意 并 不 是 所 有 的 邻居 都 可 以 建立 
邻接 关系 ， 这 将 取决 于 网 络 类 型 和 路 由 器 配置 。 | 
口 Hello 协议 ”OSPF 的 Hello 协议 能 够 动态 地 发 现 邻 居 ， 并 维护 邻居 关系 。Hello 数据 包 和 链 路 
状态 通告 (LSA ) 共同 用 于 建立 并 维护 拓扑 数据 库 。Hello 数据 包 使 用 的 是 组 播 地 址 224.0.0.5。 
口 邻居 关系 数据 库 邻居 关系 数据 库 是 一 个 OSPF 路 由 器 的 列表 ， 这 些 路 由 器 的 Hello 数据 包 相 
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互 可 见 。 每 个 路 由 器 上 的 邻居 关系 数据 库 中 管理 着 各 种 详细 的 资料 ， 包 括 路 由 器 ID 和 状态 等 
信息 。 

口 拓扑 数据 库 拓扑 数据 库 中 包含 有 来 自 为 同一 区 域 接收 的 所 有 链 路 状态 通告 数据 包 中 的 信息 。 
路 由 器 使 用 来 自 拓扑 数据 库 中 的 信息 ， 作 为 Dijkstra 算 法 的 输入 ， 并 通过 该 算法 为 每 个 网 络 计 
算出 最 短路 径 。 


LSA 数据 包 用 于 更 新 并 维护 拓扑 数据 库 。 
注意 


口 链 路 状态 通告 ” 链 路 状态 通告 (LSA ) 是 一 个 OSPF 数据 包 ， 它 包含 着 OSPF 路 由 器 中 共享 
的 链 路 状态 和 路 由 选择 信息 。LSA 数据 包 拥 有 多 种 不 同 的 类 型 ， 这 里 马上 会 介绍 到 它们 。 一 
个 OSPF 路 由 器 只 与 建立 了 邻接 关系 的 路 由 器 交换 LSA 数据 包 。 

口 指定 路 由 器 “无论 什么 时 候 ， 当 OSPF 路 由 器 被 连接 到 同一 多 路 访问 网 络 时 ， 都 需要 选择 一 
个 指定 路 由 器 (DR ) 。 思 科 喜 欢 将 这 些 网 络 称 为 “广播 ”网 络 ， 但 实际 上 ， 它 们 是 拥有 多 个 
接收 者 的 网 络 。 不 要 将 多 路 访问 与 多 点 连接 相 混淆 ， 有 时 它们 确实 不 易 区 分 。 

一 个 典型 的 示例 就 是 以 太 局 域 网 。 为 了 使 建立 的 邻接 关系 的 数量 最 小 化 ， 就 需要 选择 (挑选 ) 
一 个 DR， 它 负责 将 路 由 选择 信息 分 发 到 广播 网 络 或 链 路 中 其 他 路 由 器 上 ， 或 收集 其 他 路 由 器 的 路 
由 选择 信息 。 这 样 就 可 以 确保 所 有 路 由 器 上 的 拓扑 表 是 完全 同步 的 。 这 个 共享 网 络 中 的 所 有 路 由 器 
都 将 与 此 DR 和 备用 的 指定 路 由 器 ( BDR ) 建立 邻接 关系 , 我 们 将 在 下 面 给 出 BDR 的 定义 。 具 有 最 
高 优先 级 的 路 由 器 将 赢得 选举 ,成 为 DR, 在 具有 较 高 优先 级 的 路 由 器 都 退出 时 ， 路 由 器 的 ID 将 成 
为 打破 平局 的 条 件 , 即 在 具有 相同 优先 级 的 路 由 器 中 选择 DR 时 , 拥有 最 高 路 由 器 ID 的 路 由 器 将 被 
选 出 。 

口 备用 指定 路 由 器 ”备用 指定 路 由 器 ( BDR ) 是 在 多 路 访问 链 路 ( 注意， 思科 有 时 喜欢 称 为 “ 广 

播 ” 网 络 ) 上 随时 准备 着 的 待命 的 DR。BDR 从 OSPF 邻接 路 由 器 上 接收 所 有 的 路 由 更 新 , 但 
并 不 泛 发 LSA 更 新 。 

口 OSPF 区 域 一 个 OSPF 区 域 是 一 组 相 邻 的 网 络 和 路 由 器 。 在 同一 个 区 域内 的 所 有 路 由 器 共 
享 一 个 公共 的 区 域 DD。 由 于 某 个 路 由 器 可 以 同时 成 为 多 个 区 域 中 的 成 员 , 因此 区 域 ID 是 被 指 
定 给 此 路 由 器 上 特定 接口 的 。 这 样 ， 路 由 器 上 的 某 些 接口 可 以 属于 区 域 1， 而 剩 下 的 接口 则 可 
以 属于 区 域 0。 所 有 在 同一 区 域 中 的 路 由 器 拥有 相同 的 拓扑 表 。 在 配置 OSPF 时 ， 需 要 记 住 ， 
必须 要 有 一 个 区 域 0, 而 且 它 通常 被 认为 是 主干 区 域 。 区 域 在 建立 分 级 网 络 组 织 中 扮演 着 重要 
的 角色 ， 而 这 也 真正 强化 了 OSPF 的 可 缩放 性 ! 

口 广播 (多 路 访问 ) 广播 (多 路 访问 ) 网 络 允 许多 个 设备 连接 (或 者 是 访问 ) 到 同一 个 网 络 
上 ， 并 通过 将 单一 数据 包 投 弟 到 网 络 中 所 有 的 结 点 来 提供 广播 能 力 ， 如 以 太 网 。 在 OSPF 中 ， 
每 个 广播 多 路 访问 网 络 都 必须 选 出 一 个 DR 和 一 个 BDR。 

口 非 广 播 多 路 访问 非 广播 多 路 访问 (NBMA ) 网 络 是 那些 诸如 帧 中 继 、X.25 和 异步 传输 模式 
( ATM ) 等 类 型 的 网 络 。 这 些 网 络 允 许多 路 访问 ,但 不 具备 以 太 网 那样 的 广播 能 力 。 因 此 ， 要 
实现 恰当 的 功能 ，NBMA 网 络 需 要 特殊 的 OSPF 配置 ， 并 且 邻 居 关 系 必须 详细 定义 。 
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DR 和 BDR 都 是 在 广播 和 非 广 播 的 多 路 访问 网 络 上 选举 出 来 的 。 关 于 选举 的 内 
注意 ” 容 将 在 本 章 的 后 面 进行 详细 的 讨论 。 


口 点 到 点 ”点 到 点 被 定义 为 一 种 由 两 个 路 由 器 间 的 直接 连接 组 成 的 网 络 拓扑 类 型 ， 这 一 连接 为 
路 由 器 提供 单一 的 通信 路 径 。 点 到 点 连接 可 能 是 物理 的 ， 比 如 直接 连接 两 个 路 由 器 的 串 行 电 
缆 ,， 它 也 可 以 是 逻辑 的 ， 如 通过 一 个 帧 中 继 网 络 中 的 电路 连接 起 来 的 两 个 相隔 数 千 英 里 的 路 
由 器 间 的 连接 。 无 论 怎样 ， 这 种 类 型 的 配置 消除 了 对 DR 或 BDR 的 需求 ， 并 且 ， 邻 居 关系 的 
发 现 也 是 自动 完成 的 。 

口 点 到 多 点 ”点 到 多 点 也 被 定义 为 一 种 网 络 拓扑 类 型 ， 这 种 拓扑 中 包含 单个 路 由 器 上 的 单一 接 
口 与 多 个 目的 路 由 器 间 的 一 系列 连接 。 所 有 位 于 不 同 路 由 器 上 的 接口 都 共享 属于 同一 网 络 的 
点 到 多 点 的 连接 。 与 点 到 点 一 样 ， 这 里 不 需要 DR 或 BDR。 

要 理解 OSPF 操作 ， 所 有 这 些 术语 都 扮演 着 重要 的 角色 ， 因 此 ， 你 需要 再 一 次 确认 已 经 对 所 有 概 

念 都 非常 熟悉 了 。 仔 细 阅 读本 章 的 后 续 内 容 ， 将 会 帮助 你 在 恰当 的 上 下 文中 找 出 这 些 术 语 的 位 置 。 


9.6.2 SPF 树 的 计算 


在 一 个 区 域 的 内 部 , 每 个 路 由 器 都 要 为 同一 区 域 中 的 每 个 网 络 计算 最 佳 /最 短路 径 。 这 个 计算 是 基 
于 拓扑 数据 库 中 收集 的 信息 ， 并 且 还 需要 使 用 最 短路 径 优先 ( SPF ) 算法 。 可 以 设想 一 下 ， 区 域 中 的 
每 个 路 由 器 都 会 去 构造 一 棵 树 , 跟 人 们 常见 的 家 谱 树 很 相像 , 在 这 棵 树 中 进行 计算 的 路 由 器 就 是 树 根 ， 
而 所 有 其 他 的 网 络 则 会 被 编排 为 树枝 和 树叶 。 路 由 器 使 用 最 短路 径 树 来 将 OSPF 路 由 插入 到 路 由 选择 
表 中 。 

注意 ， 这 棵 树 中 只 包含 了 路 由 器 所 在 区 域内 的 网 络 ， 理 解 这 一 点 很 重要 。 如 果 某 个 路 由 器 的 接口 
存在 于 多 个 区 域 中 ， 那 么 就 需要 为 每 个 区 域 都 构建 一 棵 单独 的 树 。 当 SPF 算法 执行 路 由 选择 处 理 时 ， 
需要 考虑 的 一 个 重要 标准 就 是 通 往 某 网 络 的 所 有 可 能 路 径 的 度量 或 开销 值 。 注意, 这 种 SPF 计算 并 不 
适用 于 来 自 其 他 区 域 的 路 由 。 

OSPF 使 用 开销 作为 度量 。 开 销 与 每 个 包含 在 SPF 树 中 的 输出 接口 相关 联 。 完 整 路 径 开销 是 沿 这 
条 路 径 的 所 有 输出 接口 开销 的 总 和 。 由 于 按 RFC 2338 的 定义 ， 开 销 可 以 是 任意 值 ， 所 以 思科 不 得 不 
为 每 一 个 应 用 OSPF 的 接口 执行 它 自己 计算 开销 的 方法 。 思 科 使 用 108/ 带 宽 这 样 简 单 的 等 式 来 进行 计 
算 。 这 里 的 带宽 是 为 接口 配置 的 带宽 。 利 用 这 个 规则 ，100 Mbits 的 快速 以 太 网 接口 将 有 一 个 默认 为 1 
的 OSPF 开销 ， 而 10 Mbits 的 以 太 网 接口 将 有 一 个 取 值 为 10 的 开销 。 


Wy 被 设置 带宽 为 64 000 的 接口 其 默认 开销 为 1563。 
提示 


使 用 ip ospf cost 命令 可 以 重 写 开销 。 这 一 值 的 可 修改 范围 为 1~65 535。 由 于 开销 要 分 配给 
每 一 个 链 路 ， 所 以 对 这 个 值 的 修改 必须 要 在 需要 修改 的 那个 接口 上 完成 。 


9.7 配置 OSPF 349 


思科 是 基于 带宽 来 建 立 链 路 开销 的 的 。 op 可 i 相公 信用 用 其 他 度 本 来 计算 
给 定 链 路 的 开销 。 当 链 路 连接 的 路 由 器 来 自 不 同 的 开发 商 时 ， 必 须 调整 开销 计算 方 
式 来 与 其 他 开发 商 的 路 由 器 相 匹 配 。 两 个 路 由 器 必须 指定 相同 的 链 路 开销 ， 否 则 
OSPF 无 法 正常 工作 。 


9.7 配置 OSPF 


对 OSPF 进行 基础 配置 并 不 像 配 置 RIP、IGRP 及 EIGRP 那样 简单 , 一旦 将 OSPF 中 的 许多 选项 考 
虑 进来 ， 它 实际 上 可 能 非常 复杂 。 但 是 还 好 ， 你 只 需 掌握 基本 的 单 区 域 中 的 OSPF 配置 即 可 。 下 面 的 
小 节 中 将 介绍 如 何 配置 单个 区 域 的 OSPF。 

以 下 两 个 要 素 是 OSPF 配置 中 的 基本 要 素 ， 

口 启用 OSPF; 

口 配置 OSPF 区 域 。 


9.7.1 启用 OSPF 


配置 OSPF 最 简单 也 是 最 基本 的 方式 就 是 使 用 单一 区 域 。 完 成 这 个 工作 需要 执行 至 少 两 个 命令 。 

用 于 激活 OSPF 路 由 选择 进程 的 命令 如 下 : 

Router(config)#router ospf ? 

<1-65535> 

可 见 ，OSPF 使 用 取 值 介 于 1~ 65 535 范围 内 的 数值 来 识别 OSPF 进程 ID。 在 这 人 台 路 由 器 上 它 是 
一 个 取 值 唯一 的 数字 ， 路 由 器 在 一 个 指定 运行 的 进程 下 将 一 系列 的 OSPF 配置 命令 进行 了 分 组 。 不 同 
的 OSPF 路 由 器 不 需要 使 用 相同 的 进程 ID 来 完成 通信 。 这 个 ID 是 一 个 纯粹 的 只 具有 本 地 意义 的 值 ， 
没什么 实际 意义 ， 注 意 它 不 能 从 0 开始 ， 起 始 最 小 值 只 能 为 1。 

如 果 需 要 ， 可 以 在 同一 个 路 由 器 上 同时 运行 多 个 OSPF 进程 ， 但 这 与 运行 多 区 域 OSPF 的 概念 不 
同 。 第 二 个 进程 将 维持 一 个 拓扑 表 的 完整 独立 的 副本 ， 管 理 它 与 第 一 个 进程 无 关 的 通信 。 由 于 CCNA 
的 考试 目标 只 涉及 单 区 域 的 OSPF， 并 且 每 个 路 由 器 都 只 运行 单一 的 OSPF 进程 ， 因 此 ， 本 书 重点 介 
绍 这 一 方面 的 内 容 。 


本 它 只 局 部 有 效 。 


9.7.2 配置 OSPF 区 域 


在 标识 了 OSPF 的 进程 后 ， 接 下 来 需要 标识 想 要 进行 OSPF 通信 的 接口 ， 及 路 由 器 所 在 的 区 域 。 
这 也 就 配置 了 需要 向 其 他 路 由 器 进行 通告 的 网 络 。OSPF 在 配置 中 使 用 了 通配符 掩 码 ， 该 掩 码 也 被 应 
用 在 访问 控制 表 的 配置 中 (将 在 第 13 章 进 行 讨论 )。 

下 面 是 一 个 对 OSPF 进行 基本 配置 的 实例 : 
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Router#config t 
Router(config)#router ospf 1 
Router(config-router)#network 10.0.0.0 0.255.255.255 
area ? 
<0-4294967295> OSPF area ID as a decimal value 
A.B.C.D OSPF area ID in IP address format 
Router(config-router)#network 10.0.0.0 0.255.255.255 
area 0 


这 个 区 域 可 以 是 从 0 到 42 亿 中 的 任何 一 个 数值 。 不 要 将 这 些 数值 与 进程 ID 相 
注意 ” 混淆， 进程 DD 的 取 值 范围 是 从 1 到 65 535。 

记 住 ，OSPF 进程 ID 的 数值 是 彼此 互 不 相关 的 。 在 网 络 中 每 个 路 由 器 上 的 进程 ID 都 可 以 是 相同 
的 ， 当 然 也 可 以 是 不 同 的 一 一 这 都 没有 关系 。 这 个 取 值 只 具有 本 地 意义 ， 其 作用 只 是 使 OSPF 能 在 路 
由 器 上 进行 路 由 选择 。 

命令 network 的 参数 是 网 络 号 ( 10.0.0.0 ) 和 通配符 掩 码 ( 0.255.255.255 )。 这 两 个 数字 的 组 合用 于 
标识 OSPF 操作 的 接口 ， 并 且 它 也 将 包含 在 其 OSPF 的 LSA 通告 中 。 根 据 上 面 示例 中 的 配置 ，OSPF 将 
使 用 这 个 命令 来 找 出 在 10.0.0.0 网 络 中 被 配置 的 路 由 器 上 的 任何 接口 , 它 会 将 找到 的 接口 都 放置 到 区 域 
0 中 。 注 意 ， 在 这 里 可 以 创建 42 亿 个 区 域 (一 个 路 由 器 实际 上 不 会 创建 那么 多 的 区 域 ， 但 是 从 多 达 42 
亿 个 的 数字 中 选 出 某 些 来 对 区 域 进行 命名 显然 是 可 以 的 ). 注 意 ,也 可 以 使 用 外 地 址 的 格式 来 标记 区 域 。 

简短 地 解释 一 下 通配符 : 在 通配符 掩 码 中 ， 一 个 0 的 八 位 位 组 表示 网 络 地 址 中 相应 的 八 位 位 组 必 
须 严格 地 匹配 。 而 另 一 方面 ，255 则 表示 不 必 关 心 网 络 地 址 中 相应 的 八 位 位 组 的 匹配 情况 。 网 络 和 通 
配 符 掩 码 1.1.1.1 0.0.0.0 的 组 合 将 只 指定 使 用 1.1.1.1 精确 配置 的 接口 ， 而 不 包含 其 他 的 地 址 。 如 果 想 
在 指定 接口 上 简单 明确 地 激活 OSPF， 这 种 方式 确实 很 有 用 。 如 果 你 坚持 要 匹配 网 络 中 的 某 个 范围 ， 
如 网 络 和 通配符 掩 码 1.1.0.0 0.0.255.255 的 组 合 将 指定 一 个 范围 1.1.0.0~ 1.1.255.255。 由 此 可 知 ， 使 用 
通配符 掩 码 0.0.0.0 将 分 别 标识 出 每 个 OSPF 的 接口 , 它 的 确 是 一 个 比较 简单 且 安 全 的 方式 , 但 一 旦 进 
行 了 这 样 的 配置 ， 它 们 的 功能 也 就 相当 单一 了 ， 只 有 一 条 路 有 时 并 不 是 件 好 事 。 

最 后 的 参数 是 区 域 号 码 ， 它 指示 网 络 中 标识 接口 以 及 限定 通配符 掩 码 所 在 的 区 域 。 记 住 ， 只 有 当 
OSPF 路 由 器 的 接口 共享 了 具有 相同 区 域 号 的 网 络 时 ， 这 些 路 由 器 才 可 以 成 为 邻居 。 区 域 号 的 格式 可 
以 是 从 1 到 4294 967 295 范围 内 的 十 进 制 值 ， 也 可 以 是 标准 的 十 进 制 点 分 法 表示 的 数值 。 例 如 ， 区 域 
0.0.0.0 就 是 一 个 合法 的 区 域 ， 它 也 同样 表示 区 域 0。 

通配符 示例 

在 开始 对 我 们 的 示例 网 络 进 行 配置 之 前 ， 来 快速 地 看 一 下 稍 有 难度 的 OSPF 网 络 配置 ， 并 了 解 一 
- 下 在 使 用 子 网 和 通配符 时 OSPF 对 网 络 会 有 什么 要 求 。 

下 面 的 路 由 器 使 用 了 4 个 不 同 的 接口 与 4 个 子 网 相连 接 : 

口 192.168.10.64/28; 

口 192.168.10.80/28; 

口 192.168.10.96/28; 

口 192.168.10.8/30。 

所 有 的 接口 都 需要 配置 在 区 域 0 中 。 在 我 看 来 ， 最 简单 的 配置 方式 是 : 
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Test#config t 
Test(config)#router ospf 1 
Test(config-router)#network 192.168.10.0 0.0.0.255 area 0 


上 面 的 示例 相当 简单 ， 但 简单 并 不 总 是 最 好 的 ， 虽 然 这 是 配置 OSPF 的 一 种 简单 的 方式 ,但 需要 
了 和 解 这 样 配置 的 好 处 何在 ?更 为 糟糕 的 是 , 这 样 简易 的 配置 方式 并 没有 包含 在 CCNA 的 目标 中 ! 既然 
这 样 , 我 们 需要 通过 使 用 子 网 号 和 通配符 , 为 每 个 接口 创建 一 个 单独 的 网 络 声 明 。 具体 操作 如 下 所 示 : 

Test#config t 

Test(config)#router ospf 1 

Test(config-router)#network 192.168.10.64 0.0.0.15 area 0 

Test(config-router)#network 192.168.10.80 0.0.0.15 area 0 

Test(Cconfig-router)#network 192.168.10.96 0.0.0.15 area 0 

Test(config-router)#network 192.168.10.8 0.0.0.3 area 0 

现在 这 里 的 配置 看 上 去 的 确 有 些 不 同 了 ! 但 事实 上 OSPF 仍 会 以 与 前 面 所 介绍 的 简单 配置 中 相同 
的 方式 进行 工作 ,但 是 与 前 面 介绍 的 简单 配置 不 同 ， 这 种 配置 方式 包含 在 CCNA 的 考试 目标 中 ! 

虽然 这 个 配置 看 上 去 很 复杂 ,但 请 相信 ， 其 实 并 不 是 这 样 。 所 有 需要 做 的 就 是 对 块 尺寸 的 理解 ! 
因此 一 定 要 记 住 在 配置 通配符 时 ， 它 们 永远 都 要 比 块 尺寸 小 1。 一 个 /28 的 块 大 小 为 16， 因 此 使 用 子 
网 号 添加 网 络 声 明 ， 并 在 一 个 需 配 置 的 八 位 位 组 中 添加 值 为 15 的 通配符 。 对 于 /30， 它 的 块 大 小 为 4， 
则 所 使 用 的 通配符 为 3。 在 进行 几 次 练习 之 后 ， 这 个 推 注 就 变 得 相当 简单 了 ， 在 学 习 控 制 列表 时 我 们 
会 再 次 用 到 它们 。 

为 了 能 牢固 地 掌握 这 个 内 容 ， 下 面 以 图 9-5 为 示例 ， 用 OSPF 的 通配符 来 配置 这 个 网 络 。 图 9-5 
中 给 出 了 一 个 配 有 3 台 路 由 器 的 网 络 ， 图 中 还 给 出 了 路 由 器 的 每 个 接口 所 使 用 的 人 P 地 址 。 


Lab B 
Lab A e0: 192.168.10.49/29 Lab C 
e0:192.168.10.65/29 sl: 10.255.255.82/30 e0: 192.168.10.17/29 
s0:10.255.255.81/30 s0: 10.255.255.9/30 s0: 10.255.255.10/30 


和 而 名 而 癌 国 店 


ES 这 3 > 这 下 


区 域 0. 


图 9-5 ”OSPF 通配符 配置 示例 


352 第 9 章 增强 IGRP(EIGRP) 和 开放 最 短路 径 优先 (OSPF) 


在 开始 时 首先 需要 做 的 、 也 是 必须 能 够 做 的 就 是 要 查看 每 个 接口 的 地 址 ， 并 推断 此 地 址 所 在 的 子 
网 。 稍 停顿 一 下 ， 在 这 里 我 猜 我 知道 你 此 刻 在 想 什么 :“ 为 什么 不 在 此 使 用 0.0.0.0 通配符 来 精确 地 指 
定 接口 的 下 地 址 ? ”是 的 , 在 这 里 是 可 以 的 , 但 应 该 注意 到 ， 对 于 这 一 部 分 内 容 ，CCNA 的 目标 不 仅 
仅 是 要 掌握 那些 最 容易 操作 的 部 分 ， 还 记得 吗 ? 

图 中 给 出 了 每 个 接口 的 IP 地 址 。 路 由 器 Lab_A 有 两 个 直接 连接 的 子 网 ， 192.168.10.64/29 和 
10.255.255.80/30。 下 面 是 使 用 通配符 进行 的 OSPF 配置 : 

Lab_A#config t 

Lab A(config)#router ospf 1 

Lab _ACconfig-router)#network 192.168.10.64 0.0.0.7 area 0 

Lab_ACconfig-router)#network 10.255.255.80 0.0.0.3 area 0 

路 由 器 Lab_A 在 ethernet0 接口 上 使 用 的 是 一 个 /29 或 255.255.255.248 的 掩 码 。 这 是 一 个 大 小 为 8 
的 块 ， 它 所 对 应 的 通配符 为 7。 而 s0 接口 上 的 掩 码 为 255.255.255.252， 即 其 块 尺寸 为 4， 所 对 应 的 通 
配 符 为 3。 如 果 你 不 能 从 所 提供 的 人 P 地 址 和 斜 杠 符号 中 推断 出 子 网 、 掩 码 和 通配符 ,就 不 能 使 用 这 种 
方式 来 完成 对 OSPF 的 配置 。 因 此 ， 除 非 你 能 顺利 地 完成 这 样 的 操作 ， 否 则 就 不 要 去 参加 考试 。 

下 面 是 在 另 两 个 路 由 器 上 进行 的 配置 ， 可 以 帮助 你 多 做 些 练习 : 

Lab_B#config t 

Lab_B(config)#router ospf 1 

Lab_B(Cconfig-router)#network 192.168.10.48 0.0.0.7 area 0 

Lab_B(config-router)#network 10.255.255.80 0.0.0.3 area 0 

Lab_B(Cconfig-router)#netwonrk 10.255.255.8 0.0.0.3 area 0 


Lab_C#config 七 

Lab_CCconfig)#router ospf 1 

Lab_C(config-router)#network 192.168.10.16 0.0.0.7 area 0 

Lab_C(config-router)#network 10.255.255.8 0.0.0.3 area 0 

正如 在 对 Lab_A 配置 中 提 到 的 , 你 现在 应 该 已 经 可 以 从 接口 的 人 P 地 址 和 子 网 掩 码 中 推断 出 子 网 、 
掩 码 和 通配符 了 。 如 果 还 不 能 做 到 这 一 点 ， 你 就 不 能 使 用 通配符 来 配置 OSPF。 因 此 ， 反 复 地 学 习 这 
一 部 分 内 容 ， 直 到 真正 掌握 为 止 ! 


9.7.3 ”使 用 OSPF 来 配置 网 络 


好 ， 现 在 来 做 一 些 有 趣 的 事 ! 让 我 们 用 OSPF 来 配置 一 下 前 面 示例 中 的 网 络 ， 注 意 这 里 只 使 用 区 
域 0。 在 开始 之 前 ， 需 要 将 配置 的 EIGRP 删除 ， 这 是 因为 OSPF 的 管理 距离 为 110。( 而 EIGPR 的 是 
90， 这 些 你 都 懂 的 ， 不 是 吗 ? ) 在 进行 这 一 操作 时 ， 我 们 将 RIP 也 一 同 删除 ， 之 所 以 这 样 做 ， 是 因为 
我 不 希望 你 由 此 养 成 总 让 RIP 运行 在 网 络 上 的 习惯 。 

正如 前 面 提 到 过 的 ， 配置 OSPF 可 以 有 许多 种 不 同 的 方式 ,但 最 简单 和 最 容易 的 做 法 就 是 使 用 通 
配 符 掩 码 0.0.0.0。 但 是 在 这 里 ， 我 想 说 明 我 们 可 以 使 用 不 同 的 OSPF 配置 方式 来 配置 每 个 路 由 器 ， 并 
且 所 得 到 的 结果 仍 将 是 完全 相同 的 。 这 也 是 OSPF 为 什么 要 比 其 他 的 路 由 选择 协议 更 加 有 趣 的 原因 之 
一 ， 它 给 我 们 更 多 的 方式 来 完成 工作 ， 同 时 也 为 排除 故障 提供 了 更 多 机 会 ! 下 面 将 使 用 图 9-3 中 给 出 
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的 网 络 来 进行 OSPF 配置 。 

1. Corp 

下 面 就 是 在 Corp 路 由 器 上 的 配置 : 

Corp#config t 

Corp(config)#no router eigrp 10 

Corp(config)#no router rip 

Corp(Cconfig)#router ospf 132 

Corp(config-router)#network 10.1.1.1 0.0.0.0 area 0 

Corp(config-router)#network 10.1.2.1 0.0.0.0 area 0 

Corp(config-router)#network 10.1.3.1 0.0.0.0 area 0 

Corp(Cconfig-router)#network 10.1.4.1 0.0.0.0 area 0 

Corp(Cconfig-router)#network 10.1.5.1 0.0.0.0 area 0 

这 里 似乎 有 一 些 问 题 需 要 讨论 一 下 。 首 先 ， 我 删除 了 EIGRP 和 RIP, 然后 ,添加 了 OSPF。 但 是 ， 
为 什么 在 这 里 使 用 的 是 OSPF 132? 其 实 ， 这 的 确 不 重要 ， 这 个 数值 完全 是 无 所 谓 的 。 我 想 也 许 使 用 
132 感觉 比较 好 ! 

这 个 network 命令 的 使 用 也 相当 直接 。 我 直接 将 每 个 接口 的 亿 地 址 输入 了 进去 ， 然 后 使 用 通 配 
符 掩 码 0.0.0.0, 这 表明 这 个 IP 地 址 的 每 个 八 位 位 组 都 必须 是 完全 匹配 的 。 但 是 如 果 认 为 简单 的 才 是 最 
好 的 ， 那 就 这 样 做 吧 : 

Corp(config)#router ospf 132 

CorpCconfig-router)#network 10.1.0.0 0.0.255.255 area 0 


上 面 用 一 行 代 替 了 五 行 ! 我 真希 望 你 能 理解 ， 不 管 使 用 哪 种 方式 给 出 网 络 声明 ，OSPF 在 这 里 都 会 
同样 地 工作 。 现 在 ， 我 们 来 看 一 下 R1。 为 了 让 配置 简单 化 ， 我 们 将 采用 相同 的 配置 方式 。 

2.R1 

路 由 器 R1 有 4 个 直接 连接 的 网 络 。 在 这 里 的 示例 中 使 用 一 个 网 络 命令 来 代替 在 每 个 接口 上 进行 
的 输入 ， 这 样 它 同样 能 正确 地 工作 : 

R1#config t 

RiCconfig)#no router eigrp 10 

Ri(config)#no router rip 

Ri(config)#router ospf 1 

RliC(config-router)#network 10.1.0.0 0.0.255.255 area0 


人 


% Invalid input detected at '^' marker. 


R1Cconfig-router)#network 10.1.0.0 0.0.255.255 area 0 
RiCconfig-router)# 

14:12:39; %OSPF-5-ADJCHG: Process 1, Nbr 10.1.5.1 on Serial0/0/0 
from LOADING to FULL, Loading Done 


Ri(config-router )# 
14:12:43: %OSPF-5-ADICHG: Process 1, Nbr 10.1.5.1 on Serial0/0/1 
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from LOADING to FULL, Loading Done 
RiCconfig-router)#network 192.168.0.0 0.0.255.255 area 0 


好 ,除了 忘记 在 区 域 命令 和 区 域 号 之 间 插 和 人 一 个 空格 这 个 小 小 的 输入 错误 之 外 ， 这 确实 是 一 个 紧 
凑 而 有 效 的 配置 。 

这 里 首先 禁用 EIGRP， 随 后 启用 OSPF 路 由 选择 进程 1， 并 添加 带 有 通配符 掩 码 0.0.255.255 的 
network 命令 10.1.0.0。 这 一 命令 基本 上 表示 :“ 找 出 任 一 起 始 于 10.1 的 接口 ， 并 将 它们 加 入 到 区 域 0 


中 。” 最 后 , 又 将 用 一 个 配置 行将 192.168.10.0 和 192.168.20.0 添加 到 配置 中 。 一 切 快速 、 简 单 而 且 顺 畅 ! 
3. R2 


路 由 器 R2 直接 连接 到 3 个 网 络 ， 我 们 同样 看 一 下 它 的 配置 : 
R2#config t 

R2Cconfig)#no router eigrp 10 

R2(Cconfig)#no router rip 

R2(config)#router ospf 45678 

R2(config-router)#network 10.0.0.0 0.0.0.255.255.255 area 0 
R2(Cconfig-router)#network 192.168.30.1 0.0.0.0 area 0 
R2(config-router)#network 192.168.40.1 0.0.0.0 area 


我 可 以 使 用 任 一 个 想 用 的 进程 ID, 只 要 它 的 值 在 1 到 65 535 之 间 。 并 且 注 意 , 我 所 使 用 的 10.0.0.0 
其 通配符 为 0.255.255.255, 并 且 随 后 使 用 0.0.0.0 通配符 对 192.168.30.0 和 40.0 网 络 进行 了 配置 。 这 样 
配置 也 能 工作 得 不 错 。 

4. R3 

最 后 ， 这 是 最 后 一 个 路 由 器 ! 对 于 R3 路 由 器 ,我 们 需要 关闭 RIP 和 EIGRP， 然 后 配置 OSPF。 

R3Cconfig)#no router eigrp 10 

R3Cconfig)#no router rip 

R3Cconfig)#router ospf 1 

R3Cconfig-router)#network 10.1.5.1 0.0.0.0 area 0 

R3(Cconfig-router)#network 172.16.10.0 0.0.0.255 area 0 

酷 ! 至 此 我 们 已 经 完成 了 对 所 有 路 由 器 的 OSPF 配置 , 接 下 来 需要 做 些 什 么 呢 ? 消磨 时 间 ? 不 , 还 
没有 真正 地 结束 , 还 有 一 些 验证 方面 的 工作 。 我 们 需要 确认 OSPF 真正 在 工作 , 这 是 我 们 下 一 节 要 做 的 。 


9.8 验证 OSPF 配置 


有 多 种 方式 可 以 进行 OSPF 的 验证 ， 用 于 确定 已 经 对 它 完 成 了 适当 地 配置 并 能 进行 正常 的 运行 ， 
下 面 的 章节 将 要 介绍 需要 了 解 并 能 够 完成 有 关 OSPF 配置 的 show 命令 。 我们 先 从 查看 Corp 路 由 器 上 
的 路 由 选择 表 开 始 。 

好 ， 我 们 先 在 路 由 器 Corp 上 执行 show ip route 命令 ， 看 一 下 这 里 是 否 有 机 会 进行 故障 排除 的 
演练 : 

10.0.0.0/24 is subnetted, 5 subnets 

C 10.1.1.0 is directly connected, Vlanl 

C 10.1.2.0 is direct]y connected, Serial0/0/0 

C 10.1.3.0 is directly connected, Serial0/0/1 
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C 10.1.4.0 is directly connected, Serial0/1/0 
€ 10.1.5.0 is directly connected, FastEthernet0/0 
172.16.0.0/24 is subnetted, 1 subnets 

172.16.10.0 [150/0] via 10.1.5.2 
192.168.10.0/24 [110/65] via 10.1.2.2, 00:01:55, Seria10/0/0 
192.168.20.0/24 [110/65] via 10.1.2.2, 00:01:55, Serial0/0/0 
192.168.30.0/24 [150/0] via 10.1.4.2 
S 192.168.40.0/24 [150/0] via 10.1.4.2 


路 由 器 Corp 显示 ， 只 在 我 们 互联 网 络 中 找到 2 个 动态 的 路 由 ， 表 项 所 带 的 O 表明 它们 是 OSPF 
的 内 部 路 由 ( 而 C 显然 是 那些 直接 相连 的 网 络 )。 但 是 在 这 个 路 由 选择 表 中 带 有 S 的 行 表示 的 是 什么 ? 

由 此 可 以 看 出 , 与 EIGRP 不 同 , 在 这 个 小 型 的 互联 网 络 中 ， 当 我 首次 完成 对 路 由 器 的 配置 时 , 它 
并 没有 正常 地 “工作 ”起 来 。 下 面 来 查找 一 下 这 个 问题 并 将 它 修复 。 我 们 先 从 192.168.30.0 和 40.0 开 
始 查 起 ; 到 达 这 些 网 络 的 路 由 不 应 该 被 显示 为 静态 的 。 让 我 们 返回 R2， 看 一 下 那里 进行 的 配置 : 

router ospf 45678 

1og-adjacency-changes 

network 10:0.0.0 0.0.0.255 area 0 

network 192.168.30.1 0.0.0.0 area 0 

network 192.168.40.1 0.0.0.0 area 0 

! 

对 192.168.30.0 和 40.0 的 配置 看 起 来 是 正确 的 ,但 是 在 第 一 行 中 对 10.0.0.0 网 络 的 配置 中 发 现 一 
个 错误 。 你 看 出 来 了 吗 ? 那 就 是 问题 所 在 ， 我 所 使 用 的 通配符 告诉 OSPF 要 严格 匹配 前 3 个 八 位 位 组 
中 的 内 容 , 但 是 我 又 没有 任何 一 个 接口 开始 于 10.0.0， 因 此 ， 这 里 需要 重新 进行 网 络 的 声明 : 

R2Cconfig)#router ospf 45678 

R2Cconfig-router)#no network 10.0.0.0 0.0.0.255 area 0 

R2Cconfig-router)#network 10.1.4.0 0.0.0.255 area 0 


于 是 ,我 取消 了 这 个 错误 的 声明 ， 然 后 配置 了 一 个 正确 的 网 络 声明 。 下 面 我 们 再 来 看 一 下 Corp 
的 路 由 选择 表 : 
10.0.0.0/24 is subnetted, 5 subnets 

10.1.1.0 is directly connected, Vianl 

10.1.2.0 is directly connected, Serial0/0/0 

10.1.3.0 is directly connected, Serial0/0/1 

10.1.4.0 is directly connected, Serial0/1/0 

10.1.5.0 is directly connected, FastEthernet0/0 
172.16.0.0/24 is subnetted, 1 subnets 

172.16.10.0 [150/0] via 10.1.5.2 
192.168.10.0/24 [110/65] via 10.1.2.2, 00:09:;50，Serial10/0/0 
192.168.20.0/24 [110/65] via 10.1.2.2，00:09:50，Seria10/0/0 
192.168.30.0/24 [110/782] via 10.1.4.2，00:00:02,Serial0/1/0 
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I 
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0 192.168.40.0/24 [110/782] via 10.1.4.2, 00:00:02, Serial0/1/0 
Corp# 
是 的 , 好 像 是 好 些 了 …… 但 是 仍然 可 以 发 现 那 个 神奇 的 172.16.0.0 网 络 夹杂 在 Corp 路 由 选择 表 的 
输出 中 。 查 看 一 下 R3 上 的 配置 ， 看 看 是 否 存在 有 错误 的 配置 : 
router ospf 1 
1og-adjacency-changes 
network 10.1.5.1 0.0.0.0 area 0 
network 172.16.10.0 0.0.0.255 area 0 
这 里 有 另 一 个 错误 的 输入 。 看 看 使 用 OSPF 多 么 简单 ? 你 发 现 我 犯 的 错误 了 吗 ? 输入 show ip 
interface brief 可 以 帮助 你 发 现 问题 所 在 ， 
R3#sh ip int brief 


Interface IP-Address OK? Method Status Protocol 
FastEthernet0/0 10.1.5.2 YES manua] up up 
Dot1lRadio0/0/0 172.16.10.1 YES manual up up 


应 该 不 难看 出 ， 这 里 的 快速 以 太 网 接口 的 地 址 应 该 是 10.1.5.2， 而 不 是 OSPF 配置 中 的 10.1.5.1。 
记 住 ,在 网 络 声明 中 永远 使 用 直接 连接 的 接口 或 网 络 地 址 ， 而 不 要 使 用 远程 路 由 器 的 网 络 地 址 。 下 面 
就 是 对 这 个 问题 的 修复 ， 以 及 应 该 进行 的 声明 : 

R3(config)#router ospf 1 

R3Cconfig-router)#no network 10.1.5.1 0.0.0.0 area 0 

R3Cconfig-router)#network 10.1.5.2 0.0.0.0 area 0 

现在 再 来 最 后 看 一 下 Corp 上 的 路 由 选择 表 。 现 在 一 切 都 应 该 正常 了 : 

10.0.0.0/24 is subnetted, 5 subnets 


C 10.1.1.0 is directly connected, Vilanl 

C 10.1.2.0 is directly connected, Serial0/0/0 

C 10.1.3.0 is directly connected, Serial0/0/1 

C 10.1.4.0 is directly connected, Serial0/1/0 

C 10.1.5.0 is drect]y connected, FastEthernet0/0 
172.16.0.0/24 is subnetted，1 subnets 

0 172.16.10.0 [110/2] via 10.1.5.2，00:00:28，FastEthernet0/O 

0 192 .168.10.0/24 [110/65] via 10.1.2.2, 00:15:34,Serial0/0/0 

0 192.168.20.0/24 [110/65] via 10.1.2.2, 00:15:34, Serial0/0/0 

0 192.168.30.0/24 [110/782] via 10.1.4.2，00:05:47，Seria10/1/0 

0 192.168.40.0/24 [110/782] via 10.1.4.2, 00:05:47,，Serial0/1/0 


现在 就 得 到 了 一 个 看 上 去 非常 漂亮 的 OSPF 路 由 选择 表 。 能 够 发 现 并 修复 如 示例 所 示 的 OSPF 网 
络 配置 错误 是 非常 重要 的 。 使 用 OSPF 时 很 容易 犯 一 些小 错误 ， 因 此 对 一 些小 细节 要 特别 加 以 关注 。 
下 面 就 是 必须 掌握 的 所 有 有 关 OSPF 的 验证 命令 。 


9.8.1 show ip ospf 命令 
命令 show ip ospf 用 于 显示 运行 在 该 路 由 器 上 的 一 个 或 全 部 OSPF 进程 的 OSPF 信息 。 这 些 信 
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息 包含 路 由 器 ID、 区 域 信息 、SPF 统计 和 LSA 定时 器 信息 。 让 我 们 检验 一 下 Corp 路 由 器 的 输出 : 
Corp#sh ip ospf 
Routing Process "ospf 132" with ID 10.1.5.1 


Supports only 


single TO0S(T0S0) routes 


Supports opague LSA 
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs 
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs 
Number of external LSA 0. Checksum Sum Ox000000 
Number of opaque AS LSA 0. Checksum Sum Ox000000 
Number of DCbitless external and opaque AS LSA 0., 
Number of DoNotAge external and opaque AS LSA 0 
Number of areas in this router is 1. 1 normal 0 stub 0 nssa 
External flood list length 0 

Area BACKBONE(CO) 


Number 


of interfaces in this area is 5 


Area has no authentication 
SPF algorithm executed 5 times 
Area ranges are 


Number 
Number 
Number 
Number 
Number 


of LSA 5. Checksum Sum 0x0283f4 

of opaque link LSA 0. Checksum Sum 0x000000 
of DCbitless LSA 0 

of indication LSA 0 

of DoNotAge LSA 0 


Flood list length 0 
注意 ， 这 个 路 由 器 ID ( RID ) 是 10.1.5.1， 是 这 个 路 由 器 上 所 配置 的 最 高 PP 地址 。 


9.8.2 show ip 


ospf database 命令 


使 用 show ip ospf database 命令 将 给 出 在 互联 网 络 中 路 由 器 的 编号 (AS )， 及 相 邻 路 由 器 的 
ID (也 就 是 前 面 提 到 过 的 拓扑 数据 库 )。 与 show ip eigrp topology 命令 不 同 ， 这 个 命令 只 显示 
OSPF 路 由 器 ， 而 不 是 AS 中 的 全 部 链 路 ， 这 点 与 EIGRP 中 的 做 法 是 不 一 样 的 。 

这 一 输出 是 根据 区 域 进行 分 割 的 。 下 面 是 一 个 输出 的 示例 ， 其 内 容 还 是 来 自 Corp: 


Corp#sh ip ospf database 


OSPF Router with ID (10.1.5.1) (Process ID 132) 


Link ID 
192.168.20.1 
192.168.40.1 


Router Link States (Area 0) 


ADV Router Age Seq# Checksum Link count 
192.168.20.1 1585 Ox80000006 0x00ae08 6 
192.168.40.1 1005 Ox80000005 0x0069c7 4 
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10.1.5.1 10.1.5.1 688 0x80000009 0x008108 8 
172.16.10.1 172.16.10.1 688 . Ox80000004 0x0021a6 2 


Net Link States (Area 0) 
Link ID ADV Router Age Seq# Checksum 
10.1.5.1 10.1.5.1 688 Ox80000001 0x00c977 
这 里 能 看 到 4 个 路 由 器 和 每 个 路 由 器 的 RID( 即 每 个 路 由 器 上 最 高 的 全 地址 )。 路 由 器 的 输出 还 
给 出 了 链 路 ID 和 该 链 路 上 位 于 ADV 路 由 器 ( 即 通告 路 由 器 ) 下 的 路 由 器 RID, 注意 , 接口 也 是 链 路 。 


9.8.3 show ip ospf interface 命令 


命令 show ip ospf interface 给 出 了 所 有 与 接口 相关 的 OSPF 信息 。 被 显示 的 数据 是 关于 所 有 
启用 OSPF 的 接口 或 指定 接口 的 OSPF 信息 。( 我 将 其 中 某 些 重要 的 内 容 加 黑 为 粗 体 。) 
Corp#sh ip ospf int f0/0 
FastEthernet0/0 is up, line protoco]l is up 
Internet address is 10.1.5.1/24, Area 0 
Process ID 132, Router ID 10.1.5.1, Network Type BROADCAST, Cost: 1 
Transmit Delay is 1 sec, State DR, Priority 1 
Designated Router (ID) 10.1.5.1, Interface address 10.1.5.1 
Backup Designated Router (ID) 172.16.10.1, Interface address 10.1.5.2 
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
Hello due in 00:00:04 
Index 5/5, flood queue length 0 
Next Ox0(C0)/0x0(C0) 
Last flood scan length is 1, maximum is 1 
Last flood scan time is 0 msec, maximum is 0 msec 
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 172.16.10.1 (Backup Designated Router) 
Suppress hello for 0 neighbor(s) 
由 这 个 命令 显示 的 信息 包括 以 下 内 容 : 
口 接口 IP 地址 ; 
口 区 域 分 配 ; 
口 进程 ID; 
口 路 由 器 ID; 
口 网 络 类 型 ; 
口 开销 ; 
口 优先 级 ; 
口 DR/BDR 选举 信息 〈 如 果 可 用 ); 
口 Hello 和 Dead 定时 器 间隔 ; 
口 邻接 邻居 信息 。 
我 在 这 里 使 用 show ip ospf interface f0/0 命令 ， 是 因为 我 知道 在 Corp 和 R3 路 由 器 之 间 的 
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快速 以 太 网 的 广播 多 路 访问 网 络 上 会 进行 指定 路 由 器 的 选举 。 稍 后 我 们 就 进入 对 DR 和 BDR 的 选举 内 
容 的 学 习 中 ， 而 其 他 所 加 黑 的 信息 也 非常 重要 ! 后 面 我 们 会 特意 重 温 一 下 show ip ospf interface 
命令 输出 中 给 出 的 定时 器 部 分 的 内 容 。 

下 面 作为 一 个 示例 , 输入 show ip ospf interface 命令 时 会 收 到 如 下 应 答 ; 

Corp#sh ip ospf int f0/0 

%OSPF: OSPF not enabled on FastEthernet0/0 

导致 这 一 错误 出 现 的 原因 是 ， 路 由 器 上 启用 了 OSPF 但 没有 在 接口 上 进行 相应 的 配置 。 你 需要 检 
查 网 络 声明 ， 因 为 你 所 尝试 验证 的 这 个 接口 没有 出 现在 OSPF 的 进程 中 。 


9.8.4 show ip ospf neighbor 命令 


由 于 show ip ospf neighbor 命令 汇总 了 OSPF 信息 中 关于 邻居 和 邻接 状态 的 信息 ， 因 此 这 一 
命令 超级 有 用 。 如 果 网 络 中 存在 DR 或 BDR， 这 些 信息 也 将 被 显示 出 来 。 下 面 就 是 一 个 示例 : 


Corp#sh ip ospf neighbor 


Neighbor ID Pri State Dead Time Address Interface 
172.16.10.1 1 FULL/DR 00:00:39 10.1.5.2 FastEthernet0/0 
192.168.20.1 0 FULL/ - 00:00:38 10.1.2.2 Serial0/0/0 
192.168.20.1 0 FULL/ - 00:00:38 10.1.3.2 Serial0/0/1 
192.168.40.1 0 FULL/ - 00:00:36 10.1.4.2 Serial0/1/0 


要 知道 这 是 一 个 超级 重要 的 命令 ， 因 为 它 在 对 成 品 化 网 络 的 维护 中 特别 实用 。 我 们 看 一 下 路 由 器 

R3#sh ip ospf neighbor 

Neighbor ID Pri State Dead Time Address Interface 

10.1.5.1 1 FULL/BDR 00:00:31 10.1.5.1 FastEthernet0/0 

由 于 在 R3 和 Corp 路 由 器 间 有 一 个 以 太 网 链接 (广播 多 路 访问 )， 因 此 这 里 会 由 一 个 选举 过 程 来 
决定 谁 是 指定 路 由 器 ( DR ) 以 及 谁 是 备份 指定 路 由 器 (BDR )。 我 们 可 以 看 出 R3 成 为 了 指定 路 由 器 ， 
之 所 以 赢得 选举 是 因为 它 在 这 个 网 络 上 具有 最 高 的 下 地址 。 这 是 在 默认 情况 下 的 结果 , 我 们 当然 可 以 
对 此 进行 修改 。 

而 在 这 个 输出 中 ,在 Corp 到 R1、R2 和 R3 的 连接 上 却 没有 给 出 DR 或 BDR， 导 致 这 一 情况 的 原 
因 是 在 默认 情况 下 , 点 到 点 链 路 上 不 会 进行 DR 的 选举 , 并 且 它 们 显示 为 FULL/_。 同 时 从 路 由 器 Corp 
的 输出 中 不 难看 出 ， 它 和 3 个 路 由 器 是 完全 邻接 的 。 


9.8.5 show ip protocols 命令 


不 论 在 路 由 器 上 运行 OSPF、EIGRP、IGRP、RIP、BGP、IS-IS, 或 者 其 他 能 配置 在 路 由 器 上 的 
路 由 选择 协议 ，show ip protocols 命令 都 非常 有 用 。 它 提供 了 一 个 关于 所 有 当前 运行 协议 的 真实 

下 面 给 出 了 Corp 路 由 器 上 的 输出 : 

Corp#sh ip protocols 

Routing Protocol is "ospf 132" 
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Outgoing update filter list for all interfaces is not set 
Incoming update filter list for all interfaces is not set 
Router ID 10.1.5.1 
Number of areas in this router is 1. 1 normal 0 stub 0 nssa 
Maximum path: 4 
Routing for Networks: 

10.1.1.1 0.0.0.0 area 0 

10.1.2.1 0.0.0.0 area 0 

10.1.3.1 0.0.0.0 area 0 

10.1.4.1 0.0.0.0 area 0 

10.1.5,1 0.0.0.0 area 0 
Routing Information Sources: 


r 


Gateway Distance Last Update 
10.1.5.1 110 00:05:16 
172.16.10.1 110 00:05:16 
192.168.20.1 110 00:16:36 
192.168.40.1 110 00:06:55 


Distance: (default 1s 110) 

从 这 里 的 输出 中 ,可 以 确定 此 OSPF 的 进程 ID 、OSPF 的 路 由 器 ID 、OSPF 的 区 域 类 型 、 在 OSPF 
上 配置 的 网 络 和 区 域 , 以 及 邻居 OSPF 的 路 由 器 ID 等 许多 内 容 。 仔细 阅读 , 认真 思考 ! 你 是 否 注意 到 ， 
与 我 们 前 面 在 RIP 中 执行 同一 个 命令 相 比 , 这 里 的 输出 缺少 了 有 关 定 时 器 的 内 容 ? 这 是 因为 链 路 状态 
路 由 选择 协议 不 像 距离 矢量 路 由 选择 算法 那样 ， 需 要 使 用 定时 器 才能 保持 网 络 的 稳定 运行 。 


9.8.6 调试 OSPF 


对 任何 协议 而 言 ，debug 都 是 一 个 很 有 力 的 分 析 工具 ， 表 9-4 给 出 了 一 些 可 以 帮助 OSPF 排 错 的 
debug 命令 。 


表 9-4 有 助 于 OSPF 排 错 的 debug 命 令 


命 令 描述 /功能 
debug ip ospf packet 显示 在 路 由 器 上 被 接收 的 Hello 数 据 包 
debug ip ospf hello 显示 在 路 由 器 上 被 发 送 和 接收 的 Hello 数 据 包 。 显 示 比 debug ip ospf packet 
的 输出 更 详细 的 内 容 
debug ip ospf adj 显示 在 广播 和 非 广播 多 路 访问 网 络 上 的 DR 和 DBR 选 举 过 程 


下 面 首先 给 出 了 在 路 由 器 Corp 上 运行 debug ip ospf packet 命令 的 输出 : 

Corp#debug ip ospf packet 

OSPF packet debugging is on 

*Mar 23 01:20:45.507: OSPF: rcv, v:2 t:1 1:48 rid:10.1.2.2 
aid:0.0.0.0 chk:8076 aut:0 auk: from Serial0/0/0 

*Mar 23 01:20:45.531: OSPF: rcv. v:2 t:1 1:48 rid: 10.1.4.2 
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aid:0.0.0.0 chk:8076 aut:0 auk: from Serial0/1/0 
*Mar 23 01:20:45.531: OSPF: rcv. v:2 t:1 1:48 rid: 10.1.5.2 
aid:0.0.0.0 chk:8074 aut:0 auk: from FastEthernet0/0 


从 上 面 的 输出 中 我 们 可 以 看 到 该 路 由 器 正在 接收 来 自 邻 居 ( 邻接 ) 路 由 器 的 Hello 数据 包 。OSPF 
每 10 秒 钟 发 送 一 次 Hello 数据 包 。 

下 一 个 使 用 的 DEBUG 命令 是 debug ip ospf adj， 它 将 给 出 发 生 在 广播 和 非 广播 多 路 访问 网 络 
上 的 选举 ,在 下 面 的 小 节 中 ， 它 是 一 个 重要 的 命令 。 要 得 到 有 效 的 输出 ,需要 先 关闭 R3 上 的 F0/0 接 
口 ， 然 后 再 将 它 启用 : 


Corp#debug ip ospf adj 

OSPF adjacency events debugging is on 

05:32:12: %O0SPF-5-ADJCHG: Process 132, Nbr 172.16.10.1 on 

FastEthernetO0/0 from FULL to DOWN, Neighbor Down: Interface down or detached 


05:32:12: OSPF: Build router LSA for area 0, router ID 10.1.5.1, seq Ox80000016 
05:32:12: OSPF: DR/BDR election on FastEthernet0/0 

05:32:12: OSPF: Elect BDR 0.0.0.0 

05:32:12: OSPF: Elect DR 0.0.0.0 

05;32:;12: OSPF: Elect BDR 0.0.0.0 

05:32:12: OSPF: Elect DR 0.0.0.0 

05:32:12: DR: none BDR: none 

05:32:12: OSPF: Build router LSA for area 0, router ID 10.1.5.1, seq Ox80000017 
05:32:12: OSPF: Build router LSA for area 0, router ID 10.1.5.1, seq 0x80000017 


Corp# 

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, 

changed state to up 

05:33;57:; OSPF; end of Wait on interface FastEthernet0/0 

05:33:57: OSPF: DR/BDR election on FastEthernet0/0 

05:33:57: OSPF: Elect BDR 172.16.10.1 

05:33:57: OSPF: Elect DR 172.16.10.1 

05:33:57: DR: 172.16.10.1 (Id) BDR: 172.16.10.1 (Id) 
05:33:57: OSPF: Send DBD to 172.16.10.1 on FastEthernet0/0 seq 0x2d9e 

opt 0x00 flag 0x7 len 32 

05:33:57: OSPF: Build router LSA for area 0, router ID 10.1.5.1, seq 0x80000018 
05:33:57: OSPF: DR/BDR election on FastEthernet0/0 

05:33:57: OSPF: Elect BDR 10.1.5.1 

05:33:57: OSPF: Elect DR 172.16.10.1 

05:33:57; OSPF: Elect BDR 10.1.5.1 

05:33:57: OSPF: Elect DR 172.16.10.1 

05:33:57: DR: 172.16.10.1 (Id) BDR: 10.1.5.1 (Id) 

05:33:57: OSPF: Build router LSA for area 0, router ID 10.1.5.1, seq 0x80000018 
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很 好 ， 下 面 就 来 讨论 如 何在 OSPF 网 络 上 进行 选举 。 


9.9 ”OSPF 的 DR 和 BDR 选举 


本 章 已 经 对 OSPF 进行 了 详细 地 讨论 ; 然而 到 目前 为 止 ， 对 于 指定 路 由 器 和 备份 指定 路 由 器 的 内 
容 ， 我 们 也 只 是 简单 地 接触 了 一 下 ， 因 而 ， 为 了 能 帮助 你 更 好 地 理解 DR 选举 过 程 ， 这 里 将 对 这 一 过 
程 进行 更 为 深入 地 探究 ， 本 章 末尾 还 提供 了 相关 内 容 的 动手 实验 。 

在 正式 开始 前 ， 需 要 再 次 确认 你 已 经 完全 理解 了 术语 邻居 和 和 令 接 的 含义 ， 因 为 这 两 个 概念 对 于 认 
识 DR 和 BDR 的 选举 过 程 至 关 重 要 。 当 一 个 广播 或 非 广 播 多 路 访问 网 络 ( 像 以 太 网 或 帧 中 继 ) 被 连接 
到 一 台 路 由 器 并 且 链 路 被 激活 时 ， 就 会 发 生 选 举 过 程 。 


9.9.1 邻居 


多 个 共享 网 络 分 段 的 路 由 器 将 在 这 个 网 络 分 段 上 成 为 邻居 。 这 些 邻 居 是 通过 Hello 协议 选举 出 来 
的 。 使 用 IP 组 播 将 Hello 数据 包 周 期 性 地 从 每 个 接口 发 出 。 

两 个 路 由 器 只 有 在 以 下 方面 达成 共识 时 ， 它 们 才能 成 为 邻居 : 

口 区 域 ID 这 里 的 这 个 原则 是 ， 在 某 一 特定 网 络 分 段 上 的 两 个 路 由 器 的 接口 必须 要 属于 同一 个 
区 域 。 当 然 ， 这 些 接口 也 必须 归属 于 相同 的 子 网 。 

口 认证 OSPF 人 允许 为 特定 的 区 域 设 置 密码 。 虽 然 路 由 器 间 的 认证 不 是 必需 的 ， 但 在 必要 时 可 以 
设置 它 。 不 过 ， 需 要 记 住 的 是 ， 如 果 使 用 了 认证 ， 当 需要 路 由 器 成 为 邻居 时 ， 那 么 它们 需要 
在 该 网 络 分 段 上 具有 相同 的 密码 。 

口 Hello 和 dead 间隔 ”OSPF 在 每 个 网 络 分 段 上 交换 Hello 数据 包 。 路 由 器 为 了 能 在 网 络 分 段 上 
确认 彼此 之 间 的 存在 关系 , 并 且 在 广播 和 非 广播 的 多 路 访问 网 络 分 段 上 进行 指定 路 由 器 (DR ) 
的 选举 ， 需 要 使 用 这 样 一 个 存活 系统 。 

Hello 间隔 用 于 设 定 两 个 Hello 数据 包 之 间 的 秒 计数 。 而 dead 间隔 是 指 路 由 器 发 出 的 Hello 数据 包 
没有 被 邻居 看 到 ， 因 而 宣称 此 OSPF 路 由 器 宕 机 所 经 过 的 秒 数 。OSPF 要 求 ， 两 个 邻居 间 设 置 的 这 些 
时 间 间 隔 必 须 是 完全 相同 的 。 如 果 这 些 间 隔 中 的 任何 一 个 不 相同 ， 则 此 网 络 分 段 上 的 路 由 器 将 不 能 成 
为 邻居 。 可 以 使 用 show ip ospf interface 命令 来 查看 这 些 定时 器 。 


9.9.2 ”邻接 


在 选举 过 程 中 ， 邻 接 是 成 为 邻居 之 后 的 下 一 个 步 又。 邻接 的 路 由 器 指 那些 经 过 简单 的 Hello 数据 
交换 后 ， 进 入 数据 库 交 换 过 程 的 路 由 器 。 为 了 减少 在 特定 网 络 分 段 中 交换 信息 的 数量 ，OSPF 在 每 个 
多 路 访问 网 络 分 段 中 需要 选举 出 一 个 指定 路 由 器 (DR ) 和 备份 指定 路 由 器 (BDR )。 

BDR 是 由 选举 产生 的 用 于 防止 DR 失效 的 备份 路 由 器 。 这样 设计 是 要 为 路 由 器 建立 一 个 用 于 信息 
交换 的 中 心 连接 点 。 这 样 ， 更 新 数据 的 交换 方式 便 从 每 个 路 由 器 都 需要 与 网 络 分 段 中 其 他 各 个 路 由 器 
进行 交换 ， 改 变 为 每 个 路 由 器 只 需要 发 送 它 的 信息 给 DR 和 BDR。 随 后 ， 再 由 DR 将 这 些 信息 中 转 给 
每 个 路 由 器 。 
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9.9.3 DR 和 BDR 的 选举 


DR 和 BDR 的 选举 是 通过 Hello 协议 来 完成 的 。 在 每 个 网 络 分 段 上 Hello 数据 包 是 通过 IP 组 播 来 
交换 的 。 然 而 ， 只 有 在 广播 和 非 广播 的 多 路 访问 网 络 ( 如 以 太 网 和 帧 中 继 ) 的 网 络 分 段 上 才 会 进行 
DR 和 BDR 的 选举 。 点 到 点 链 路 ， 例 如 串 行 WAN 连接 ， 不 会 进行 DR/BDR 的 选举 。 

在 广播 和 非 广 播 的 多 路 访问 网 络 上 ， 网 络 分 段 中 带 有 最 高 OSPF 优先 级 的 路 由 器 将 会 成 为 本 网 络 
分 段 中 的 DR。 这 个 优先 级 可 以 使 用 how ip ospf interface 命令 进行 查看 ， 它 的 默认 取 值 为 1。 如 
果 所 有 的 路 由 器 都 使 用 默认 优先 级 设置 ， 那 么 拥有 最 高 路 由 器 ID ( RID ) 的 路 由 器 将 会 胜出 。 

我 们 知道 ，RID 是 由 OSPF 启动 时 所 有 接口 地 址 中 最 高 的 下 地 址 确定 的 。 使 用 环 回 ( 逻辑 ) 接口 
可 以 修改 RID， 下 一 节 将 介绍 环 回 接口 。 | 

如 果 将 某 个 路 由 器 的 接口 优先 级 设置 为 0, 则 在 这 个 接口 上 该 路 由 器 不 会 参加 DR 和 BDR 的 选举 。 
这 个 优先 级 为 0 的 接口 其 状态 将 随后 变 为 DROTHER。 

现在 我 们 来 讨论 一 下 OSPF 路 由 器 上 的 RID。 


9.10 ”OSPF 和 环 回 接口 


在 使 用 OSPF 路 由 选择 协议 时 ， 为 其 配置 环 回 接口 是 很 重要 的 工作 ， 思 科 建 议 ， 不 论 在 路 由 器 上 
是 否 配置 使 用 OSPF， 最 好 都 配置 环 回 接口 。 

环 回 接口 就 是 一 些 逻 辑 接 口 ， 即 虚拟 的 软件 接口 ; 它们 并 不 是 真正 的 路 由 器 接口 。 在 OSPF 配置 
中 使 用 环 回 接口 就 是 为 了 确保 在 OSPF 进程 中 总 存在 一 个 激活 的 接口 。 

环 回 接口 可 以 用 于 OSPF 的 配置 和 诊断 。 在 路 由 器 上 配置 环 回 接口 的 原因 是 ， 如 果 不 配置 环 回 接 
口 ， 路 由 器 上 的 最 高 激活 IP 地 址 将 在 路 由 器 启动 时 成 为 该 路 由 器 的 RID。 而 RID 用 于 路 由 的 通告 以 
及 DR 和 BDR 的 选举 。 


a 


默认 情况 下 ，OSPF 会 使 用 启动 时 激活 接口 中 最 高 的 IP 地 址 作为 其 ID。 然 而 ， 
注意 ” 带 辑 接口 可 以 取代 这 个 数值 ,任何 有 逻辑 接口 中 的 最 高 地 址 总 会 成 为 路 由 器 的 RID。 


下 一 小 节 将 会 给 出 如 何 配 置 环 回 接口 ， 以 及 如 何 验 证 环 回 地 址 和 RID。 
9.10.1 配置 环 回 接口 


对 环 回 接口 的 配置 通常 是 一 件 非常 轻松 的 工作 ， 因 为 它 是 OSPF 配置 中 最 简单 的 部 分 ， 我 们 现在 
也 都 需要 稍稍 休息 一 下 ， 不 是 吗 ? 那么 坚持 住 ， 我 们 现在 要 步 和 最 后 阶段 了 1! 
首先 ， 在 Corp 路 由 器 上 使 用 show ip ospf 命令 ,来 看 一 下 它 的 RID: 
Corp#sh ip ospf 
Routing Process "ospf 132" with ID 10.1.5.1 
[output cut] 


可 以 看 到 Corp 的 RID 为 10.1.5.1， 即 该 路 由 器 的 FastEthernet0/0 接口 。 下 面 将 使 用 一 个 完全 不 同 
的 IP 地 址 方案 来 配置 它 的 环 回 接口 : 
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CorpCconfig)#int loopback 0 
*Mar 22 01:23:14.206: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
Loopback0, changed state to up 
CorpCconfig-if)#ip address 172.31.1.1 255.255.255.255 
这 里 选用 的 他 方案 其 实 并 不 重要 ,但 要 保证 每 个 人 P 必须 在 一 个 独立 的 子 网 中 。 通 过 使 用 /32 掩 码 ， 
就 可 以 选择 使 用 任何 一 个 想 用 的 瑟 地 址 ， 只 要 任意 两 个 路 由 器 路 上 不 要 使 用 相同 的 地 址 即 可 。 
下 面 来 对 其 他 路 由 器 进行 配置 : 
Rl#config 七 
R1LCconfig)#int loopback 0 
*Mar 22 01:25:11.206: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
Loopback0，changed state to up 
RiCconfig-if)#ip address 172.31.1.2 255.255.255.255 
这 里 是 对 R2 上 的 环 回 接口 进行 的 配置 : 
R2#config 七 
R2Cconfig)#int loopback 0 
*Mar 22 02:21:59.686: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
Loopback0，changed state to up 
R2Cconfig-if)#ip address 172.31.1.3 255.255.255.255 
这 里 是 对 R3 上 的 环 回 接口 进行 的 配置 ， 这 里 使 用 了 一 个 不 同 的 卫 地 址 ， 随 后 解释 为 什么 要 这 
样 做 : 
R3#config t 
R3(Cconfig)#int loopback 0 
*Mar 22 02:01:49.686: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
Loopback0, changed state to up 
R3(Cconfig-if)#ip address 172.31.1.4 255.255.255.255 : 
我 可 以 很 肯定 地 相信 ， 你 想 知 道 255.255.255.255( /32 ) 这 一 IP 地 址 掩 码 的 含义 ， 并 且 也 想 知道 
为 什么 不 使 用 255.255.255.0 来 代替 它 。 很 好 ,虽然 两 个 掩 码 都 能 用 在 这 里 , 但 被 称 为 是 主机 掩 码 的 /32 
掩 码 ， 对 于 环 回 接口 显得 更 为 恰当 ， 因 为 这 样 使 用 可 以 节省 子 网 的 空间 。 注 意 ， 如 果 我 不 使 用 /32 掩 
码 ， 那 么 我 如 何 能 使 用 172.16.10.1、172.16.10.2、172.16.10.3 和 172.16.10.4 这 些 地 址 ? 那样 我 就 需要 
为 每 个 路 由 器 设置 一 个 独立 的 子 网 ! 
在 继续 下 面 的 内 容 之 前 , 我 们 需要 知道 , 设置 环 回 接口 是 否 将 路 由 器 的 RID 进行 了 修改 ? 下 面 通 
过 查看 Corp 上 的 RID 来 检查 一 下 这 样 配置 的 结果 : 
Corp#sh ip ospf 
Routing Process "ospf 132" with ID 10.1.5.1 
这 是 怎么 回 事 ? 你 可 能 会 认为 , 既然 我 们 已 经 设置 了 逻辑 接口 , 那么 此 膛 辑 接口 下 的 人 P 地 址 就 应 
该 自动 地 成 为 该 路 由 器 的 RID， 对 吗 ? 在 一 定 程度 上 对 ， 只 有 完成 下 面 两 件 事 情 中 的 一 件 时 ， 事 情 才 
会 真正 有 变化 ， 这 两 件 事 是 : 重启 路 由 器 ， 或 者 在 路 由 器 上 删除 OSPF 然后 重新 创建 它 的 数据 库 。 但 
任何 一 个 都 不 是 理想 的 选项 。 
我 将 选择 使 用 重新 引导 Corp 路 由 器 ， 因 为 这 是 这 两 个 选项 中 较 容 易 实 现 的 一 个 。 
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现在 我 们 再 来 看 一 下 RID: 
Corp#sh ip ospf 
Routing Process "ospf 132" with ID 172.31.1.1 

是 的 ， 它 改过 来 了 。 现 在 路 由 器 Corp 有 了 一 个 新 的 RID! 因此 ， 我 猜 只 有 将 所 有 的 路 由 器 都 重启 
一 遍 ， 才 能 将 它们 的 RID 重新 设置 为 我 们 指定 的 逻辑 地 址 。 

或 许 不 用 ， 这 里 还 有 另外 一 种 方式 。 使 用 router ospf process-id 命令 来 为 路 由 器 添加 一 个 
新 的 RID, 从 而 替换 原来 的 ID, 对 此 你 会 有 什么 看 法 ? 不 如 让 我 们 试 试 吧 ! 下 面 就 是 一 个 在 路 由 器 R3 
上 实现 的 示例 : 

R3#sh ip ospf 

Routing Process "ospf 1" with ID 10.1.12.1 

R3#config t 

R3Cconfig)#router ospf 1 

R3Cconfig-router)#router-id 172.31.1.4 

R3Cconfig-router)#Reload or use "clear ip ospf process" command, for 

this to take effect 

R3Cconfig-router)#do clear ip ospf process 

Reset ALL OSPF processes? [no]: yes 


20:16:35: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.5.1 on FastEthernet0/0 
from FULL to DOWN, Neighbor Down: Adjacency forced to reset 


20:16:35: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.5.1 on FastEthernet0/0 

from FULL to DOWN, Neighbor Down: Interface down or detached 

R3Cconfig-router)#do sh ip ospf 

Routing Process "ospf 1" with ID 172.31.1.4 

看 到 了 吗 ,这 样 也 可 以 ! 这 里 实现 了 对 RID 的 修改 , 但 却 没有 重启 路 由 器 ! 但 是 , 等 一 下 , 我 们 在 
此 之 前 也 设置 了 一 个 环 回 接口 〈 逻辑 接口 )。 那 这 个 环 回 接口 是 否 能 够 战胜 router-id 命令 ? 好 ,我 
们 来 看 一 下 答案 。 逻 辑 ( 环 回 ) 接口 不 能 覆盖 router-id 命令 ， 即 我 们 不 能 通过 重新 启动 路 由 器 来 
使 逻辑 接口 地 址 成 为 RIC。 

于 是 ， 可 以 得 到 这 样 的 修改 顺序 : 

(1) 默认 情况 下 为 最 高 激活 接口 ; 

(2) 最 高 逻辑 接口 可 以 覆盖 物理 接口 ; 

(3) 命令 router-id 可 覆盖 接口 和 环 回 接口 。 

到 这 里 唯一 需要 回答 的 问题 是 ， 是 否 需 要 在 OSPF 下 通告 环 回 接口 。 对 于 是 否 通告 所 使 用 的 地 址 
各 有 不 同 的 优点 和 缺点 。 使 用 不 通告 的 地 址 可 以 节省 真正 可 用 的 人 P 地 址 空间 , 但 是 这 样 的 地 址 不 会 出 
现在 OSPF 表 中 ， 因 此 不 能 ping 到 它 。 

所 以 基本 上 ,这 里 所 面 对 的 问题 是 要 在 简化 网 络 调试 和 节省 地 址 空间 之 间作 出 选择 。 怎 么 办 ? 一 
个 实用 的 策略 就 是 使 用 私有 人 P 地 址 ， 就 像 示 例 中 所 做 的 那样 。 这 样 做 ， 一 切 都 很 顺利 ! 
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9.10.2 ”OSPF 接口 优先 级 


在 OSPF 中 另 一 种 替代 使 用 环 回 接口 来 配置 DR 和 BDR 的 方式 就 是 “指定 ”选举 。 通 过 配置 路 由 
器 接口 的 优先 级 可 以 做 到 这 一 点 ， 只 要 在 选举 进行 时 配置 的 优先 级 比 其 他 路 由 器 的 优先 级 高 就 行 。 换 
名 话说， 我 们 可 以 使 用 优先 级 代替 逻辑 地 址 来 迫使 某 台 路 由 器 成 为 网 络 中 的 DR 或 BDR。 

图 9-6 给 出 了 一 个 示例 。 注 意 在 图 9-6 中 , 可 以 使 用 哪个 选项 来 确保 路 由 器 R2 能 被 选举 为 此 局 域 
网 (广播 多 路 访问 ) 分 段 中 的 指定 路 由 器 (DR ) ? 首先 ， 需 要 确定 每 个 路 由 器 的 RID ， 然 后 推断 在 
172.16.1.0 局 域 网 中 哪个 路 由 器 会 是 默认 的 DR。 


192.168.0.101/15 |. 
s0/0 


< 172.16.1.123/24 
Fa0A0 


72.16.1.124/24 
Fa0/0 


Fa0/1 
192.168.10.254/24 


Fa0/1 
192.168.11.254/24 


选择 配置 哪个 选项 能 确保 R2 成 为 此 局 域 网 分 段 中 的 DR? 


图 9-6 确保 指定 路 由 器 


在 这 里 ， 不 难看 出 R3 将 会 是 默认 的 DR， 因 为 它 拥 有 最 高 的 RID， 其 值 为 192.168.11.254。 要 确 
保 R2 被 选举 为 此 局 域 网 分 段 172.16.1.0/24 中 的 DR， 这 里 给 出 了 3 个 选项 : 
口 配置 路 由 器 R2 上 Fa0/0 接口 的 优先 级 比 此 以 太 网 中 其 他 任 一 接口 的 优先 级 都 高 ; 
口 在 R2 上 配置 一 个 环 回 接口 ， 并 使 它 的 卫 地 址 比 其 他 路 由 器 上 的 任 一 了 瑟 地 址 都 高 ; 
口 将 RI 和 了 R3 的 Fa0/0 接口 的 优先 级 取 值 修改 为 0。 
如 果 在 路 由 器 R1 和 R3 上 将 接口 的 优先 级 设置 为 零 (0 )， 那 么 将 不 允许 它们 参加 这 个 选举 过 程 。 
但 是 这 可 能 不 是 最 好 的 方式 ， 这 样 ， 我 们 只 能 在 前 两 个 选项 中 进行 选择 。 


由 于 你 已 经 掌握 了 如 何 配置 一 个 环 回 (逻辑 ) 接口 ， 这 里 就 只 给 出 了 如 何在 路 由 器 R2 的 Fa0/0 
接口 上 设置 优先 级 的 操作 : 


R2#config t 

R2(config)#int f0/0 

R2Cconfig-if)#ip ospf priority ? 
<0-255> Priority 

R2Cconfig-if)#ip ospf priority 2 
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这 就 是 所 要 进行 的 配置 ! 由 于 所 有 的 路 由 器 接口 的 默认 优先 级 都 为 1， 因 此 通过 将 此 接口 的 优先 
级 设置 为 2， 就 可 以 确保 它 自动 成 为 此 局 域 网 分 段 中 的 DR。 将 某 个 接口 的 优先 级 设置 为 255, 表示 没 
有 人 能 击败 你 的 路 由 器 ! 

对 于 已 经 选举 结束 的 网 络 , 即使 修改 了 路 由 器 接口 的 优先 级 , 但 在 已 存在 的 DR 或 BDR 被 关闭 之 
前 ， 此 路 由 器 也 不 会 成 为 此 局 域 网 分 段 的 DR。 也 就 是 说 ,一旦 某 个 选举 发 生 过 了 ， 所 有 的 一 切 也 就 
被 暂时 确定 了 ， 直 到 被 选 出 的 DR 和 BDR 被 重启 和 /或 关闭 ， 否 则 选举 不 会 再 次 进行 。 所 以 ， 即 使 拥 
有 更 好 RID 的 路 由 器 出 现在 网 络 中 ， 也 并 不 意味 着 DR 或 BDR 会 发 生 改 变 ! 

使 用 show ip ospf interface 命令 可 以 查看 优先 级 : 


R2(config-if)#do show ip ospf int f0/0 

FastEthernet0/0 is up, line protocol is up 
Internet Address 10.1.13.1/24, Area 0 
Process ID 132, Router ID 172.16.30.1, Network Type BROADCAST,Cost:1 
Transmit Delay is 1 sec, State UP, Priority 2 


记 住 ， 可 以 使 用 debug ip ospf adj 命令 在 一 个 广播 或 非 广播 的 多 路 访问 网 
注意 络 中 查看 选举 发 生 的 过 程 。 


9.11 OSPF 故障 诊断 


为 了 进行 故障 诊断 、 维 护 并 修复 与 OSPF 相关 的 问题 ， 本 节 中 将 要 求 你 完成 对 OSPF 的 配置 及 配 
置 输出 的 验证 。 

如 果 看 到 如 下 所 示 的 配置 ， 你 必须 知道 ， 路 由 器 不 会 接收 这 样 的 输入 ， 因 为 这 里 使 用 的 通配符 不 
正确 : 

Router(Cconfig)#router ospf 1 

Router(Cconfig-router)#network 10.0.0.0 255.0.0.0 area 0 


正确 的 声明 应 该 如 下 : 
Router(Cconfig)#router ospf 1 
Router(config-router)#network 10.0.0.0 0.255.255.255 area 0 


接 下 来 ,我 们 来 看 一 张 图 并 判断 一 下 哪 一 个 路 由 器 可 能 成 为 这 个 区 域 中 的 指定 路 由 器 。 图 9-7 中 
给 出 了 通过 2 个 交换 机 和 1 个 WAN 链 路 连接 起 来 的 6 个 路 由 器 所 组 成 的 网 络 。 


368 第 9 章 增强 IGRP(EIGRP) 和 开放 最 短路 径 优先 (OSPF) 


RID: 192.166.2.22/24 
路 由 器 E 


RID: 172.31.100.2/24 交换 机 RID: 10.1.1.2/24 


RID: 172.16.10.1/24 


路 由 器 C 
路 由 器 B 


RID: 192.168.10.1/24 交换 机 RID: 192.168.168.1/24 


图 9-7 指定 路 由 器 示例 


在 图 9-7 中 ， 哪 个 路 由 器 有 可 能 被 选举 为 指定 路 由 器 (DR ) ? 这 里 所 有 路 由 器 的 OSPF 优先 级 都 
为 默认 值 。 
注意 每 个 路 由 器 的 RID 值 。RID 值 最 高 的 路 由 器 应 该 是 路 由 器 A 和 B， 因 为 它们 拥有 最 高 的 下 
地 址 。 路 由 器 了 将 成 为 DR， 而 路 由 器 A 将 成 为 BDR。 好 了 ,现在 这 里 的 实际 情况 是 : 由 于 默认 情况 
下 点 到 点 链 路 上 不 会 进行 选举 ， 因 此 项 部 的 LAN 将 会 单独 进行 选举 。 但 是 ， 你 是 为 了 通过 CCNA 考 
试 而 学 习 这 些 内 容 的， 因此 ， 在 这 里 最 佳 答案 是 路 由 器 B。 
下 面 我 们 使 用 另 一 个 命令 来 验证 OSPF 的 配置 : show ip ospf interface 命令 。 注 意 观 察 下 面 
路 由 器 A 和 B 的 输出 ， 并 判断 一 下 为 什么 两 个 直接 相连 接 的 路 由 器 不 能 建立 邻接 关系 : 
RouterA#sh ip ospf interface e0/0 
Ethernet0/0 is up, line protocol is up 
Internet Address 172.16.1.2/16, Area 0 
Process ID 2, Router ID 172.126.1.1, Network Type BROADCAST, Cost: 10 
Transmit Delay is 1 sec, State DR, Priority 1 
Designated Router (ID) 172.16.1.2, interface address 172.16.1.1 
No backup designated router on this network 
Timer intervals configured, Hello 5, Dead 20, Wait 20, Retransmit 5 
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RouterB#sh ip ospf interface e0/0 
Ethernet0/0 is up, line protocol is up 
Internet Address 172.16.1.1/16, Area 0 
Process ID 2, Router ID 172.126.1.2, Network Type BROADCAST, Cost: 10 
Transmit Delay is 1 sec, State DR, Priority 1 
Designated Router (ID) 172.16.1.1, interface address 172.16.1.2 
No backup designated router on this network 
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
两 个 路 由 器 的 输出 看 上 去 都 很 正常 ， 只 是 它们 的 Hello 和 Dead 定时 器 有 所 不 同 。 路 由 器 A 的 
Hello 和 Dead 定时 器 分 别 是 5 和 20， 而 路 由 器 B 的 Hello 和 Dead 定时 器 则 是 10 和 40， 这 一 取 值 为 
OSPF 的 默认 定时 值 。 如 果 两 个 直接 相连 接 的 路 由 器 的 定时 器 设置 不 相同 ,那么 它们 将 不 能 形成 邻接 
关系 。 同 时 也 应 该 注意 到 ，show ip ospf interface 命令 也 将 给 出 你 区 域 中 的 指定 路 由 器 和 备份 
指定 路 由 器 。 
图 9-8 给 出 的 网 络 中 包含 4 个 路 由 器 和 2 个 不 同 的 路 由 选择 协议 。 


图 9-8 多 重 路 由 选择 协议 和 OSPF 


如 果 所 有 的 参数 都 被 设置 为 默认 值 , 并 且 再 发 布 没 有 被 配置 , 那么 你 认为 路 由 器 A 将 会 使 用 哪 条 
路 径 到 达 路 由 器 D? 由 于 思科 已 经 不 再 使 用 的 老式 IGRP 的 AD 值 为 100, 而 OSPF 的 AD 值 为 110， 
因此 ， 路 由 器 A 将 会 通过 路 由 器 C 来 发 送 数 据 包 到 路 由 器 D。 
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仔细 研究 图 9-9， 图 中 的 路 由 器 上 正在 运行 着 OSPF, 并 是 一 条 ISDN 链 路 提供 了 到 达 远 程 办 公 室 
局 域 网 的 连接 。 


远程 办 公 室 局 域 网 


图 9-9 ”OSPF 和 ISDN 的 连接 


在 图 9-9 中 所 示 的 ISDN 链 路 上 ， 需 要 最 小 化 网 络 开销 时 ， 公 司 路 由 器 上 应 该 配置 使 用 哪 种 类 型 
的 路 由 来 建立 与 办 公 室 远程 网 络 的 连接 ? 

对 于 这 个 问题 ， 最 佳 的 解决 方案 就 是 废弃 这 个 ISDN 链 路 ， 并 从 远程 办 公 室 建立 一 个 宽带 链 路 到 
因特网 上 ， 然 后 通过 因特网 创建 一 个 从 公司 办 公 室 到 远程 办 公 室 的 VPN。 是 的 , 这 样 很 好 ， 为 什么 不 
呢 ? 但 是 ,在 这 里 问题 所 要 求 的 是 ， 我 们 如 何 通过 使 用 ISDN 链 路 来 实现 连接 ， 并 要 求实 现 最 小 化 的 
开销 。 这 样 唯 一 能 解决 问题 的 方式 就 是 在 公司 路 由 器 上 创建 一 个 静态 路 由 来 连接 这 个 远程 网 络 ; 而 其 
他 方式 都 会 需要 更 多 的 带宽 。 


9.12 配置 EIGRP 和 OSPF 汇总 路 由 


本 节 将 介绍 EIGRP 和 OSPF 的 路 由 汇总 命令 。 虽 然 OSPF 可 以 通过 许多 种 不 同 的 方式 来 实现 汇总 ， 
但 是 在 这 里 只 介绍 最 常用 的 OSPF 汇总 命令 ， 它 可 以 将 多 区 域 OSPF 网 络 汇总 到 区 域 0 中 。 

在 第 5 章 中 已 经 了 解 到 如 何 为 某 个 网 络 确 定 汇 总 路 由 。 本 节 中 你 将 学 会 在 路 由 器 的 配置 中 应 用 这 
些 汇 总 路 由 命令 。 

图 9-10 给 出 了 一 个 相 邻 的 网 络 设计 ， 当 然 , 这 些 相 邻 的 网 络 并 不 是 偶然 形成 的 , 它们 是 有 意 设 计 
的 ! 图 9-10 中 给 出 了 6 个 网 络 ， 其 中 4 个 的 块 尺寸 为 4 (WAN 链 路 )，2 个 块 尺寸 为 8 (LAN 连接 )。 
这 样 的 网 络 设计 正好 可 以 放 到 一 个 尺寸 为 32 的 块 中 。 它 所 使 用 的 网 络 地 址 为 192.168.10.64， 其 块 大 
小 为 32， 其 掩 码 是 255.255.255.224， 如 你 所 知 ，224 可 以 提供 32 的 块 尺寸。 
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192.168.10.80/29 


EE 


192.168.10.72/30 | 


192.168.10.88/29 


| E0: 10.10.10.0/24 


图 9-10 ”邻接 网 络 的 设计 


在 核心 (连接 到 主干 ) 路 由 器 上 ， 对 于 EIGRP 我 们 将 在 Ethernet0 上 放置 汇总 路 由 ， 这 样 我 们 的 
汇总 路 由 将 通告 到 主干 网 络 ( 10.10.10.0 网 络 )。 这 将 阻止 我 们 的 6 个 网 络 分 别 收 到 通告 ， 而 是 将 它们 
作为 一 个 路 由 通告 给 网 络 中 的 其 他 路 由 器 。 当 然 ， 在 我 们 邻接 网 络 之 外 的 其 他 路 由 器 不 会 了 解 到 在 这 
个 通告 块 后 面 存 在 子 网 ， 和 否则 将 会 导致 路 由 通告 的 混淆 ， 这 点 是 必须 要 保证 的 。 

下 面 是 在 核心 路 由 器 上 进行 EIGPR 的 完整 配置 : 


Core#config t 

Core(config)#router eigrp 10 
Core(config-router)#network 192.168.10.0 
Core(config-router)#network 10.0.0.0 
Core(config-router)#no auto-summary 
Core(config-router)#interface ethernet 0 
Core(config-if)#ip summary-address eigrp 10 192.168.10.64 255.255.255.224 


以 上 为 自治 系统 10 进行 的 EIGRP 配置 将 直接 在 所 连接 的 网 络 192.168.10.0/24 和 10.0.0.0/24 中 进 
行 通告 。 由 于 EIGRP 在 有 类 边界 上 会 自动 汇总 ， 因 此 有 时 必须 要 使 用 no auto-summary 命令 。 我 们 
将 要 通告 到 主干 网 络 的 汇总 路 由 ， 放 置 在 连接 到 主干 的 接口 上 ， 而 不 用 配置 在 路 由 选择 进程 的 控制 之 
下 。 这 个 汇总 路 由 告诉 EIGRP 将 192.168.10.64 网 络 中 所 有 的 块 尺寸 为 32 的 网 络 找 出 ， 并 将 它们 以 一 
个 路 由 从 接口 E0 通告 出 去 。 这 基本 上 就 是 说 , 任何 一 个 通过 192.168.10.95 的 目标 地 址 为 192.168.10.64 
的 数据 包 ， 都 将 通过 这 个 汇总 路 由 转发 。 

要 用 OSPF 汇总 与 EIGRP 示例 中 相同 的 不 连续 网 络 ,我 们 需要 将 OSPF 配置 为 多 个 区 域 ,如 图 9-11 
所 示 。 
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192.168.10.64/30 WN, 92.168.10.68/30 


| Eo 10.10.10.0/24 


区 域 0 


图 9-11 OSPF 多 区 域 设 计 


要 汇总 区 域 1 到 主干 区 域 0 中 , 在 OSPF 进程 ID 下 使 用 下 列 命令 。 下 面 是 核心 (主干 ) 路 由 器 的 
一 个 完整 OSPF 配置 ; 

Core#config t 

Core(config)#router ospf 1 

Core(config-router)#network 192.168.10.64 0.0.0.3 area 1 

Core(config-router)#network 192.168.10.68 0.0.0.3 area 1 

Core(config-router)#network 10.10.10.0 0.0.0.255 area 0 

Core(config-router)#area 1 range 192.168.10.64 255.255.255.224 

由 于 在 默认 情况 下 OSPF 并 不 去 汇总 任何 边界 ， 因 此 这 里 并 不 需要 命令 no auto-summary。 上 面 
的 OSPF 配置 将 所 有 来 自 区 域 1 中 的 网 络 汇总 到 主干 区 域 中 ， 表 现 为 192.168.10.64/27 一 个 表 项 。 


9.13 小结 


我 知道 ， 本 章 已 经 结束 了 ， 你 可 能 会 说 ， 终 于 到 尽头 了 。 只 是 本 章 确 实 很 重要 ! EIGRP 是 本 章 的 
核心 内 容 ， 它 是 一 个 链 路 状态 路 由 选择 和 距离 矢量 协议 的 混合 体 。 它 允许 非 等 价 开 销 的 负载 均衡 、 可 
控制 的 路 由 选择 更 新 和 正式 的 邻居 关系 。 

EIGPR 使 用 可 靠 的 传输 协议 (RTP ) 在 邻居 间 完 成 通信 ， 并 且 利 用 弥散 更 新 算法 来 计算 到 达 远 程 
网 络 的 最 佳 路 径 。 

EIGRP 也 可 以 通过 VLSM、 不 连续 网 络 和 汇总 特性 支持 大 型 网 络 的 应 用 。 通 过 在 NBMA 网 络 上 
配置 EIGRP 的 操作 ，EIGRP 真正 成 为 配置 大 型 网 络 的 首选 协议 。 

本 章 详细 介绍 了 EIGRP 的 配置 ， 并 在 此 基础 上 探究 了 可 用 于 故障 诊断 的 许多 命令 。 

本 章 也 介绍 了 大 量 OSPF 的 相关 内 容 。 由 于 OSPF 的 内 容 太 过 庞杂 ， 除 本 章 所 讨论 的 OSPF 内 容 
之 外 ,还 有 大 量 的 内 容 ， 因 此 ， 想 要 在 本 章 中 包含 OSPF 的 方方面面 确实 是 件 很 困难 的 事 ， 但 是 ,我 
在 本 章 的 讨论 中 已 经 给 出 了 涉及 OSPF 使 用 和 配置 的 各 个 要 点 ， 相 信 你 已 经 可 以 很 好 地 运用 了 ， 只 要 
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你 确信 自己 已 经 掌握 了 本 章 所 介绍 的 内 容 ， 我 们 的 目标 就 达到 了 ! 
本 章 介绍 了 许多 涉及 OSPF 的 重要 内 容 , 其 中 包括 术语 、 操 作 、 配置 , 以 及 验证 和 监视 等 相关 内 容 。 
这 些 重 要 内 容 中 的 每 一 个 都 会 包含 大 量 信 息 ， 在 有 关 术 语 的 章节 ， 我 们 只 了 解 到 了 OSPF 的 一 些 
很 表层 的 内 容 。 为 了 保证 获得 好 的 学 习 效果 ， 建 议 特别 关注 对 OSPF 的 单一 区 域 的 配置 、VLSM 的 应 
用 和 邻近 边界 的 汇总 等 方面 的 内 容 。 最 后 ， 我 们 学 习 了 查看 OSPF 操作 的 一 系列 实用 的 命令 ， 这 样 你 
才能 验证 操作 是 否 按照 预 设 结果 运行 。 将 这 些 内 容 都 消化 掉 ， 你 就 一 切 都 搞定 了 ! 


9.14 考试 要 点 


了 解 EIGRP 的 特点 。EIGRP 是 一 个 无 类 、 增 强 型 距离 矢量 协议 , 支持 全、IPX 和 AppleTalk， 以 
及 目前 流行 的 IPv6。EIGPR 使 用 了 一 个 独特 的 、 被 称 为 DUAL 的 算法 来 管理 路 由 信息 ， 并 使 用 RTP 
来 完成 与 其 他 EIGRP 路 由 器 的 可 靠 传输 。 

了 解 如 何 配置 EIGRP。 能 够 完成 基本 的 EIGRP 配置 。 这 个 配置 过 程 与 RIP 的 有 类 地 址 配置 过 程 
基本 相同 。 

了 解 如 何 验证 EIGRP 的 操作 。 了 解 所 有 的 EIGRP show 命令 , 并 熟悉 它们 的 输出 ， 以 及 对 输出 中 
主要 内 容 的 解释 。 

比较 OSPF 和 RIPv1。OSPF 是 一 个 链 路 状态 协议 ， 它 支持 VLSM 和 无 类 路 由 选择 ; RIPv1 是 一 
个 距离 矢量 协议 ， 它 不 支持 VLSM， 只 支持 有 类 路 由 选择 。 

了 解 OSPF 路 由 器 如 何 成 为 邻居 或 邻接 关系 。 当 OSPF 路 由 器 看 到 其 他 路 由 器 的 Hello 数据 包 后 ， 
这 些 路 由 器 就 会 成 为 邻居 。 

能 够 配置 单一 区 域 的 OSPF。 一 个 最 | 的 单 - 区 城村 涉及 两 个 命令 : router ospf process-id 
和 network x.x.x.x y.y.y.y area Z。 

能 够 验证 OSPF 的 操作 。 许 多 show 命令 可 以 提供 关于 OSPF 的 实用 描述 ， 完 全 掌握 下 面 每 个 命 
令 的 输出 ， 会 对 你 大 有 帮助 : show ip ospf、show ip ospf database、show ip ospf interface、 
show ip ospf neighbor 和 show ip protocols。 
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(1) EIGRP 所 支持 的 4 个 被 路 由 协议 是 什么 ? 

(2) EIGRP 什么 时 候 会 请 求 再 发 布 ? 

(3) 启 用 自治 系统 号 为 300 的 EIGRP 需要 使 用 什么 命令 ? 

(4) 使 用 什么 命令 告诉 EIGPR， 它 已 经 被 连接 到 网 络 172.10.0.0? 

(5) 哪些 类 型 的 EIGPR 接口 既 不 能 发 送 ， 也 不 能 接收 Hello 数据 包 ? 
(6) 写 出 在 路 由 器 上 可 以 启用 OSPF 进程 101 的 命令 。 
(7) 写 出 可 以 显示 路 由 器 上 所 有 已 启用 OSPF 路 由 选择 进程 细节 的 命令 。 
(8) 写 出 可 以 显示 特定 接口 上 OSPF 信息 的 命令 。 

(9) 写 出 可 以 显示 所 有 OSPF 邻居 的 命令 。 

(10) 写 出 可 以 显示 当前 路 由 器 所 了 解 的 不 同 OSPF 路 由 类 型 的 命令 。 
(该 书面 实验 的 答案 见 本 章 复习 题 答案 的 后 面 。) 
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9.16 ”动手 实验 
在 本 节 中 ， 你 需要 使 用 下 列 网 络 ， 并 在 其 上 添加 EIGPR 和 OSPF 路 由 选择 。 


172.16.30.0 
E0 
cs Eo so=lso slso eo 
EB . 
: 2501A 2501B 2501C 
2621A 
172.16.10.0 172.16.20.0 172.16.40.0 172.16.50.0 


下 面 的 第 一 个 实验 (实验 9.1 ) 要 求 你 在 4 个 路 由 器 上 配置 EIGRP， 并 随后 观察 这 个 配置 。 在 随 
后 的 4 个 实验 中 ， 要求 你 在 相同 的 网 络 上 启用 OSPF 路 由 选择 。 注 意 本 章 中 的 这 些 实验 被 设计 得 可 应 
用 于 真实 设备 ， 一 些 很 便宜 的 设备 。 在 编写 这 些 实验 时 ， 我 使 用 了 最 便宜 、 最 古老 的 路 由 器 来 构建 环 
境 ， 就 是 为 了 让 你 不 需要 使 用 昂贵 的 设备 就 可 以 进行 本 书 中 那些 最 具 挑 战 的 实验 。 


Nt tment tattered tn tt 


在 开始 实验 9.2 一 实验 9.4 之 前 ,必须 删除 EIGRP， 因 为 这 个 路 由 选择 协议 拥有 
注意 ”上 比 OSPF 更 低 的 管理 距离 。 


本 章 包 含 如 下 实验 。 

实验 9.1: 配置 并 验证 EIGRP。 

实验 9.2: 启用 OSPF 进程 。 

实验 9.3: 配置 OSPF 接口 。 

实验 9.4: 验证 OSPF 操作 。 

实验 9.5: OSPF DR 和 DBR 的 选举 。 

表 9-5 给 出 了 每 个 路 由 器 的 外 地址 (每 个 接口 上 都 使 用 /24 掩 码 )。 


表 9-5 ”这 里 所 使 用 的 IP 地 址 


路 由 器 接 “ 口 IP 地 址 

2621A FO/0 172.16.10.1 
2501A E0 172.16.10.2 
2501A S0 172.16.20.1 
2501B E0 172.16.30.1 
2501B S0 172.16.20.2 
2501B Sl 172.16.40.1 
2501C S0 172.16.40.2 
2501C E0 172.16.50.1 


9.16.1 动手 实验 9.1: 配置 和 验证 EIGRP 


(1) 在 2621A 上 执行 EIGRP: 


9.16 


2621A#conf +t 

Enter configuration commands, one per line. 
End with CNTL/Z. 

2621A(config)#router eigrp 100 

2621ACconfig-router)#network 172.16.0.0 

2621A(config-router )#^Z 

2621A# 

(2) 在 2501A 上 执行 EIGRP: 

2501A#conf + 

Enter configuration commands, one per line. 
End with CNTL/Z. 

2501A(config)#router eigrp 100 

2501A(config-router)#network 172.16.0.0 

2501A(config-router)#exit 

2501A# 

(3) 在 2501B 上 执行 EIGRP: 

2501B#conf + 

Enter configuration commands, one per line. 
End with CNTL/Z. 

2501B(config)#router eigrp 100 

2501B(config-router)#network 172.16.0.0 

2501B(CCconfig-router )#^Z 

2501B# 

(4) 在 2501C 上 执行 EIGRP: 

2501C#conf 七 

Enter configuration commands, one per line. 
End with CNTL/Z. 

2501C(config)#router eigrp 100 

2501CCconfig-router)#network 172.16.0.0 

2501CCconfig-router)#^Z 

2501C# 


(5) 显示 2501B 的 拓扑 表 : 

2501B#show ip eigrp topology 

(6) 显示 2501B 路 由 器 上 的 路 由 选择 表 : 
2501B#show ip route 

(7) 显示 2501B 路 由 器 上 的 邻居 表 : 
2501B#show ip eigrp neighbor 


动手 实验 
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9.16.2 ”动手 实验 9.2: 启动 OSPF 进程 


(1) 在 2621A 上 启动 OSPF 进程 100: 

2621A#conf 七 

Enter configuration commands, one per line. 
End with CNTL/Z. 

2621A(config)#router ospf 100 

2621ACconfig-router )#^Z 

(2) 在 2501A 上 启动 OSPF 进程 101 

2501A#conf 七 

Enter configuration commands, one per line. 
End with CNTL/Z. 

2501A(config)#router ospf 101 

2501A(config-router)#^Z 


(3) 在 2501B 上 启动 OSPF 进程 102: 

2501B#conf t 

Enter configuration commands, one per line. 
End with CNTL/Z. 

2501B(config)#router ospf 102 

2501B(config-router)#^Z 

(4) 在 2501C 上 启动 OSPF 进程 103: 

2501C#conf 七 

Enter configuration commands, one per line. 
End with CNTL/Z. 

RouterC(config)#router ospf 103 

2501C(config-router)#°2 


9.16.3 ”动手 实验 9.3: 配置 OSPF 接口 


(1) 配置 2621A 和 2501A 之 间 的 网 络 ， 将 它 指派 到 区 域 0: 
2621A#conf t 
Enter configuration commands, one per line. 

End with CNTL/Z. 
2621A(config)#router ospf 100 
2621A(config-router)#network 172.16.10.1 0.0.0.0 area 0 
2621ACConfig-router )#^Z 
2621A# 
(2) 在 2501A 路 由 器 上 配置 网 络 ， 将 它们 指派 到 区 域 0: 
2501A#conf 七 
Enter configuration commands, one per line. 
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End with CNTL/Z. 
2501A(Cconfig)#router ospf 101 
2501A(config-router)#network 172.16.10.2 0.0.0.0 area 0 
2501A(Cconfig-router)#network 172.16.20.1 0.0.0.0 

area 0 
2501A(CConfig-router)#^Z 
2501A# 
(3) 在 2501B 路 由 器 上 配置 网 络 ， 将 它们 指派 到 区 域 0: 
2501B#conf 七 
Enter configuration commands，one per line. 

End with CNTL/Z. 
25018(config)#router ospf 102 
2501B(config-router)#network 172.16.20.2 0.0.0.0 area 0 
2501B(config-router)#network 172.16.30.1 0.0.0.0 area 0 
2501B(Cconfig-router)#network 172.16.40.1 0.0.0.0 area 0 
2501B(Cconfig-router)#^Z 
2501B# 
(4) 在 2501C 路 由 器 上 配置 网 络 ， 将 它 指派 到 区 域 0: 
2501C#conf t 
Enter configuration commands, one per line. 

End with CNTL/Z. 
2501C(config)#router ospf 103 
2501C(config-router)#network 172.16.40.2 0.0.0.0 area 0 
2501CCconfig-router)#network 172.16.50.1 0.0.0.0 area 0 
2501CCCconfig-router )#^Z 
2501C# 


9.16.4 ”动手 实验 9.4: 验证 OSPF 操作 


(DD) 从 2621 路 由 器 上 执行 show ip ospf neighbors 并 查看 结果 : 
2621A#sho ip ospf neig 
(2) 执行 show ip route 命令 来 验证 所 有 其 他 路 由 器 都 知道 所 有 的 路 由 : 


2621A#sho ip route 


如 果 路 由 器 上 启用 了 EIGRP， 那 么 你 不 会 看 到 任何 OSPF 路 由 。 


9.16.5 ”动手 实验 9.5: OSPF DR 和 BDR 的 选举 
在 这 个 实验 中 ， 你 将 在 测试 网 络 中 观察 到 有 控制 的 DR 和 BDR 选举 过 程 ， 并 验证 这 个 选举 过 程 。 
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你 将 用 下 图 建立 自己 的 网 络 作为 开始 。 在 这 个 实验 中 ， 如 果 能 使 用 更 多 的 路 由 器 其 效果 会 更 好 ， 要 完 
成 这 个 实验 至 少 需要 3 个 通过 局 域 网 分 段 连接 的 路 由 器 。 


在 这 个 实验 中 ,我 将 使 用 廉价 的 2500 系列 路 由 器 ,但 你 可 以 使 用 带 有 任意 类 型 
注意 ”局域网 接口 的 任意 型 号 的 路 由 器 。 或 者 如 果 你 有 Cisco Packet Tracer 模拟 软件 ， 也 可 
以 使 用 它 来 完成 实验 。 


(1) 首先 按照 图 中 所 示 的 拓扑 将 网 络 连 接 起 来 。 为 该 网 络 创建 一 个 IP 方案 ,就 像 一 些 简 单 的 地 址 
方案 ， 如 10.1.1.1/24、10.1.1.2/24 和 10.1.1.3/24 等 ， 就 能 很 好 地 工作 。 

(2) 现在 来 配置 OSPF， 将 所 有 的 路 由 器 都 放置 在 区 域 0 中。 在 这 个 实验 中 只 需 配 置 以 太 网 的 局 域 
网 接口 ， 因 为 ， 正 如 你 所 知道 的 ， 在 串 行 连接 上 不 会 进行 选举 。 

(3) 接 下 来 ， 在 每 个 路 由 器 上 输入 show ip ospf interface e0 来 验证 区 域 ID、DR、BDR 等 
信息 ， 以 及 与 局 域 网 相连 接 的 接口 的 Hello 和 dead 定时 器 。 

(4) 通过 查看 show ip ospf interface e0 的 输出 ， 判 断 哪个 路 由 器 会 是 DR， 哪 个 是 BDR。 

(5) 现在 来 验证 路 由 器 的 网 络 类 型 。 由 于 该 连接 建立 在 以 太 网 式 的 局 域 网 上 ， 其 网 络 类 型 应 该 是 
BROADCAST。 如 果 查 看 的 是 品行 连接 ， 那 么 类 型 为 点 到 点 网 络 。 

(6) 在 这 里 ， 需 要 为 路 由 器 设置 优先 级 。 在 默认 情况 下 ， 所 有 路 由 器 的 优先 级 都 是 1。 如 果 你 将 优 
先 级 改 为 0, 则 被 配置 的 路 由 器 不 会 参加 此 局 域 网 上 的 选举 过 程 。( 记 住 串 行 的 点 到 点 链 路 上 不 会 产生 
选举 。) 

(7) 现在 你 需要 确定 哪个 路 由 器 将 成 为 新 的 DR。 

(8) 接 下 来 ， 启 用 调试 进程 ， 这 样 你 可 以 看 到 所 发 生 的 DR 和 BDR 选举 过 程 。 在 所 有 路 由 器 上 输 
人 debug ip ospf adj 命令 


通过 远程 登录 其 他 路 由 器 ， 尝 试 打 开 多 个 控制 台 连 接 。 记 住 ， 要 在 Telnet 会 话 
注意 ”中 使 用 terminal monitor 命令 ， 否 则 不 会 看 到 任何 调试 输出 。 


(9) 这 里 ， 通 过 输入 ip ospf priority 3 将 新 DR 的 以 太 网 0 接口 的 优先 级 设置 为 3。 

(10) 接 下 来 ， 关 闭 DR 路 由 器 的 以 太 网 接口 ， 然 后 再 用 no shutdown 命令 将 它 开 启 。 显 然 ， 如 果 
此 时 你 已 经 远程 登录 到 此 路 由 器 中 ， 那 么 这 一 操作 将 会 使 你 失去 Telnet 的 会 话 。 

(11) 现在 选举 将 再 次 进行 ， 并 且 你 所 选 定 的 DR 路 由 器 将 真正 地 成 为 BDR。 为 了 保证 这 人 台 路 由 器 
能 够 成 为 DR， 你 需要 将 DR 和 BDR 都 关闭 掉 。 

(12) 最 后 ,输入 show ip ospf interface e0 命令 来 验证 每 个 路 由 器 上 的 DR 和 BDR 信息 。 你 
也 可 以 使 用 show ip ospf neighbor 来 查看 这 一 信息 。 
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路 由 器 接口 的 优先 级 数值 向 上 配置 一 直 可 以 达到 255， 而 255 则 意味 着 它 将 一 

注意 ” 直 是 此 区 域 的 DR。 在 这 个 测试 网 络 中 , 你 还 可 以 用 一 个 比较 高 的 优先 级 来 设置 某 台 
路 由 器 ， 可 以 看 到 ， 即 使 使 用 了 环 回 (逻辑 ) 接口 ， 优 先 级 的 设置 要 优 于 路 由 器 上 
高 RID 的 设置 。 


9.17 复习 题 


下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
注意 信息， 请 和 参阅 本 书 的 前 言 。 


(1) 某 路 由 器 到 达 目 的 网 络 有 三 个 可 用 的 路 由 。 第 一 个 是 度量 值 为 782 的 OSPF 路 由 。 第 二 个 是 度量 值 
为 4 的 RIPv2 路 由 。 第 三 个 为 复合 度量 值 为 20 514 560 的 EIGRP 路 由 。 其 中 哪个 路 由 会 被 路 由 器 放置 到 它 
的 路 由 选择 表 中 ? 


A. RIPv2 B. EIGRP C. OSPF D. 以 上 三 个 
(2) 哪 两 种 EIGRP 信息 保存 在 RAM 中 ， 并 使 用 Hello 和 更 新 数据 包 进 行 维护 ? 
A. 邻居 表 B. STP 表 C. 拓扑 表 D. DUAL 表 


(3) 下 面 哪 两 项 描述 了 用 于 在 路 由 器 上 运行 OSPF 时 的 进程 标识 ? 

A. 它 只 具有 本 地 意义 

B. 它 具有 全 局 意义 

C. 它 必 须 标 识 唯一 的 OSPF 数据 库 实例 

D. 它 是 一 个 可 选 参数 ， 只 在 路 由 器 上 有 多 个 OSPF 进程 同时 运行 时 才 需 要 

E. 在 同一 个 OSPF 区 域 中 的 所 有 路 由 器 , 当 它 们 打算 彼此 交换 路 由 选择 信息 时 , 必须 要 有 相同 的 进程 DD 
(4) EIGRP 的 继任 者 路 由 保存 在 何 处 ? 


A. 只 保存 在 路 由 选择 表 中 B. 只 保存 在 邻居 表 中 
C. 只 保存 在 拓扑 表 中 D. 保存 在 路 由 选择 表 和 邻居 表 中 
E. 保存 在 路 由 选择 表 和 拓扑 表 中 F. 保存 在 拓扑 表 和 邻居 表 中 
(5) 哪个 命令 可 以 显示 路 由 器 已 知 的 EIGRP 所 有 可 行 的 继任 者 路 由 ? 
A. show ip routes * B. show ip eigrp summary 
C. show ip eigrp topology D. show ip eigrp adjacencies 


E. show ip eigrp neighbors detail 

(6) 你 接 到 一 个 网 络 管理 员 打 来 的 电话 ， 说 他 在 路 由 器 上 输入 了 下 列 内 容 : 
Router(Cconfig)#router ospf 1 
Router(config-router)#network 10.0.0.0 255.0.0.0 area 0 


仍然 不 能 查看 路 由 选择 表 中 的 任何 路 由 。 这 个 管理 员 犯 了 哪些 配置 错误 ? 


A. 通 配 符 掩 码 不 正确 B. OSPF 区 域 是 错误 的 

C. OSPF 进程 ID 不 正确 D. AS 配置 是 错误 的 
(7) 下 面 的 哪 3 个 协议 支持 VLSM、 汇 总 和 不 连续 网 络 ? 

A. RIPv1 B. IGRP C. EIGRP 


D. OSPF E. RIPV2 
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(8) 下 面 哪 3 项 关于 OSPF 区 域 的 描述 是 正确 的 ? 
A. 必须 在 每 个 区 域 中 都 配置 分 离 环 回 接口 
B. 为 某 个 区 域 指定 的 编号 可 以 高 达 65 535 
C. 主干 区 域 也 被 称 为 区 域 0 
D. 如 果 设 计 是 分 层次 的 ， 那 么 就 不 必 使 用 多 个 区 域 
E. 所 有 的 区 域 都 必须 连接 到 区 域 0 
F. 如 何 只 有 一 个 区 域 ， 它 必须 被 称 为 区 域 1 
(9) 下 面 的 哪 两 个 网 络 类 型 需要 指派 一 个 指定 路 由 器 和 一 个 备份 指定 路 由 器 ? 


A. 广播 B. 点 到 点 C. NBMA D. NBMA 点 到 点 
E. NBMA 点 到 多 点 
(10) 某 网 络 管理 员 需 要 使 用 支持 无 类 路 由 选择 的 距离 矢量 协议 来 配置 路 由 器 。 下 列 哪 个 协议 可 以 满足 
这 些 需 求 ? 
A.IGRP B. OSPF C.RIPv1 
D. EIGRP E. IS-IS 


(11) 你 需要 了 解 已 经 与 路 由 器 建立 了 邻接 关系 的 设备 的 了 下地 址 ， 并 且 需 要 检查 邻接 路 由 器 的 重 传 间隔 
和 队列 计数 。 以 下 哪个 命令 可 以 给 出 所 需 信息 ? 
A. show ip eigrp adjacency B. show ip eigrp topology 
C. show ip eigrp interfaces D. show ip eigrp neighbors 
(12) 由 于 某 种 原因 ， 你 不 能 在 两 个 路 由 器 间 的 公用 以 太 网 链 路 上 建立 邻接 关系 。 根 据 以 下 输出 ， 指 出 
导致 这 一 问题 的 原因 。 
RouterA# 
Ethernet0/0 is up, line protocol is up 
Internet Address 172.16.1.2/16, Area 0 
Process ID 2, Router ID 172.126.1.2, Network Type BROADCAST, Cost: 10 
Transmit Delay is 1 sec, State DR, Priority 1 
Designated Router (ID) 172.16.1.2, interface address 172.16.1.1 
No backup designated router on this network 
Timer intervals configured, Hello 5, Dead 20, Wait 20, Retransmit 5 


RouterB# 

Ethernet0/0 is up, line protocol is up 
Internet Address 172.16.1.1/16, Area 0 
Process ID 2, Router ID 172.126.1.1, Network Type BROADCAST, Cost: 10 
Transmit Delay is 1 sec, State DR, Priority 1 

~ Designated Router (ID) 172.16.1.1, interface address 172.16.1.2 
No backup designated router on this network 
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
A. OSPF 区 域 配置 不 正确 B. RouterA 的 优先 级 应 该 被 设置 得 更 高 
C. RouterA 上 的 开销 应 该 被 设置 得 更 高 D. Hello 和 Dead 定时 器 配置 不 正确 
E. 此 网 络 中 需要 加 入 一 个 备份 指定 路 由 器 F. OSPF 进程 ID 号 必须 要 匹配 

(13) 以 下 哪 两 项 关于 EIGRP 继任 者 路 由 的 描述 是 正确 的 ? 
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A. EIGRP 使 用 继任 者 路 由 来 将 流量 转发 到 目的 方 

B. 继任 者 路 由 保存 在 拓扑 表 中 ， 只 有 当主 路 由 失效 时 才 会 启用 

C. 继任 者 路 由 在 路 由 选择 表 中 被 标记 为 “激活 的 ” 

D. 继任 者 路 由 可 以 由 可 行 的 继任 者 路 由 备份 

E. 继任 者 路 由 随 发 现 过 程 的 进行 被 保存 在 邻居 表 中 
(14) 哪 两 种 类 型 的 OSPF 网 络 会 选举 备份 指定 路 由 器 ? 

A. 广播 多 路 访问 B. 非 广 播 多 路 访问 C. 点 到 点 D. 广播 多 点 
(15) 以 下 哪 两 个 命令 可 以 将 网 络 10.2.3.0/24 放 入 区 域 0 中? 

A. router eigrp 10 


B. router ospf 10 
C. router rip 


D.network 10.0.0.0 

E. network 10.2.3.0 255.255.255.0 area 0 

F. network 10.2.3.0 0.0.0.255 area0 

G.network 10.2.3.0 0.0.0.255 area 0 
(16) OSPF 将 在 哪 种 类 型 的 网 络 上 建立 路 由 器 的 邻接 但 又 不 进行 DR/BDR 的 选举 过 程 ? 

A. 点 到 点 B. 主干 区 域 0 

C. 广播 多 路 访问 D. 非 广播 多 路 访问 
(17) 在 层级 设计 中 创建 OSPF 的 3 个 理由 ? 

A. 减少 路 由 选择 开销 B. 加 速 会 聚 

C. 将 网 络 不 稳定 性 限制 在 单一 区 域 中 D. 简化 OSPF 配置 
(18) OSPF 的 管理 距离 是 多 少 ? 


A. 90 B. 100 C.110 D. 120 
(19) 你 有 一 个 如 下 图 所 示 的 互联 网 络 。 然 而 ， 这 两 个 网 络 并 没有 共享 路 由 选择 表 中 的 路 由 表 项 。 要 修 
复 这 个 问题 需要 使 用 哪个 命令 ? 


A.version 2 B. no auto-Summary 
C.redistribute eigrp 10 D. default-information originate 
Host A Host_B 
下 16. 二 172.16.20.2/24 
172.16.10.0/24 172.16.20.0/24 
172.16.10.1/24 E0 172.16.20.1/24 E0 


时 S0 SO 
10.3.1.1/24 10.3.1.0/24 10.3.1.2/24 


(20) 如 果 同 一 一 区 域 中 的 路 由 器 配置 了 相同 的 优先 级 数值 ， 那么 在 没有 配置 环 回 接口 的 情况 下 ， 路 由 器 
将 使 用 什么 数值 来 作为 OSPF 的 路 由 器 ID? 
A. 任 一 物理 接口 上 的 最 低 卫 地址 B. 任 一 物理 接口 上 的 最 高 人 P 地 址 
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Cc. 任 一 逻辑 接口 上 的 最 低 全 地址 D. 任 一 逻辑 接口 上 的 最 高 P 地 址 
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(1) B。 只 有 EIGR 路 由 会 出 现在 路 由 选择 表 中 ， 因 为 它 具 有 最 低 的 管理 距离 (AD ) ， 应 该 优先 使 用 。 

(2) A、C。EIGRP 在 RAM 中 维护 3 个 表 : 邻居 表 、 拓 扑 表 和 路 由 选择 表 。 邻 居 和 拓扑 表 是 通过 Hello 
数据 包 和 更 新 数据 来 建立 并 维护 的 。 

(3) A、C。 在 路 由 器 上 的 OSPF 进程 卫 只 是 本 地 有 效 ， 你 可 以 在 每 个 路 由 器 上 使 用 相同 的 数值 ， 或 者 
每 个 路 由 器 拥有 不 同 的 数值 ， 这 都 不 重要 。 可 以 使 用 的 数值 是 从 1 到 65 535。 不 要 将 它 与 区 域 号 相 混淆 ， 区 
域 号 的 取 值 范围 是 0 到 42 亿 。 

(4) E。 由 于 继任 者 路 由 具有 到 达 远 程 网 络 的 最 佳 路 径 ， 它 是 要 被 放 在 路 由 选择 表 中 的 。 然 而 ， 拓 扑 表 
拥有 到 达 每 个 网 络 的 链 路 ， 因 此 ， 最 好 的 答案 是 拓扑 表 和 路 由 选择 表 。 每 个 到 达 远 程 网 络 的 次 级 路 由 都 被 
认为 是 可 行 的 继任 者 ， 这 些 路 由 只 能 在 拓扑 表 中 找到 ， 并 且 在 主 路 由 出 现 问题 时 它们 被 用 于 备份 路 由 。 

(5) C。 每 个 到 达 远 程 网 络 的 次 级 路 由 都 被 认为 是 可 行 的 继任 者 ， 这 些 路 由 只 能 在 拓扑 表 中 找到 ， 并 且 
在 主 路 由 出 现 问题 时 它们 被 用 于 备份 路 由 。 可 以 使 用 show ip eigrp topology 命令 来 查看 拓扑 表 。 

(6)A。 管 理 员 在 配置 中 键 人 了 错误 的 通配符 掩 码 。 通 配 符 应 该 是 0.0.0.255， 甚 至 可 以 是 0.255.255.255。 

(7) C、D、E。RIPvl 和 IGRP 是 真正 的 距离 矢量 路 由 选择 协议 ， 并 且 除 了 建立 和 维护 路 由 选择 表 并 使 
用 大 量 带 宽 之 外 ， 它 们 并 不 能 做 太 多 事情 ! RIPv2、EIGRP 和 OSPF 也 建立 并 维护 路 由 选择 表 ， 但 它们 还 支 
持 无 类 路 由 选择 ， 即 允许 VLSM、 汇 总 和 不 连续 网 络 连接 。 

(8) C、D、E。 环 回 接口 是 在 路 由 器 上 创建 的 ， 环 回 〈 逻辑 ) 接口 上 的 最 高 让 地 址 变 成 路 由 器 的 RID， 
但 它 与 区 域 无 关 ， 并 且 是 可 选 的 ， 所 以 选项 A 是 错 的 。 你 可 以 创建 从 0 到 4 294 967 295 范围 内 数值 标识 的 
区 域 ， 选 项 B 也 是 错误 的 。 主 干 区 域 被 称 为 区 域 0， 所 以 选项 C 是 正确 的 。 所 有 区 域 必 须 连接 到 区 域 9， 所 
以 选项 E 也 是 正确 的 。 如 果 你 只 有 一 个 区 域 ， 它 必须 被 称 为 区 域 0， 所 以 选项 F 不 对 。 剩 下 的 选项 D 一 定 
是 对 的 ， 虽 然 它 没有 多 大 意义 ， 但 它 是 最 好 的 答案 。 

(9) A、C。 在 任何 类 型 的 点 到 点 链 路 上 不 指定 DR。 由 于 hub/spoke 拓扑 , 在 NBMA 点 到 多 点 的 网 络 中 
也 不 指定 DRMBDR。DR 和 BDR 在 广播 和 非 广播 多 路 访问 网 络 中 选举 。 默 认 情 况 下 ， 帧 中 继 就 是 一 个 非 广 
播 多 路 访问 网 络 (NBMA ) 。 

(10) D。 在 这 个 问题 中 ， 我 们 称 EIGRP 为 平面 的 老式 距离 矢量 。EIGRP 是 一 个 增强 型 距离 矢量 路 由 选 
择 协 议 ， 有 时 又 因为 同时 使 用 了 距离 矢量 和 链 路 状态 路 由 选择 协议 的 特性 , 它 又 被 称 为 混合 路 由 选择 协议 。 

(11) D。 命令 show ip eigrp neighbors 可 以 检查 PP 地址 、 重 传 间隔 和 已 建立 起 邻接 关系 的 邻居 的 
队列 计数 。 

(12) D。 两 个 在 相同 链 路 上 的 路 由 器 ， 它 们 的 Hello 和 Dead 定时 器 必须 设置 得 相同 ， 否 则 不 能 形成 邻 
接 关系 。OSPF 默认 的 Hello 定时 器 的 值 为 10 秒 ， 而 Dead 定时 器 的 值 为 40 秒 。 

(13) A、D。 继任 者 路 由 是 从 拓扑 表 中 挑选 出 来 的 具有 到 远程 网 络 最 佳 路 径 的 路 由 , 它们 的 外 在 路 由 表 
中 用 于 转发 业务 量 到 达 远程 网 络 。 拓 扑 表 中 包含 不 如 继任 者 路 由 好 的 路 由 ， 它 们 被 称 为 可 行 的 继任 者 ， 或 
备份 路 由 。 记 住 ， 所 有 的 路 由 都 位 于 拓扑 表 中 ， 包 括 继任 者 路 由 。 

(14) A、B。DR 和 BDR 在 广播 和 非 广 播 多 路 访问 网 络 中 选举 。 默 认 情 况 下 ， 帧 中 继 就 是 一 个 非 广 播 多 
路 访问 网 络 (NBMA ) 。 在 任何 类 型 的 点 到 点 链 路 上 都 不 指定 DR。 由 于 hub/spoke 拓扑 ， 在 NBMA 点 到 多 
点 的 网 络 中 也 不 指定 DR/BDR。 

(15) B、G。 要 启用 OSPF， 你 就 必须 首先 使 用 一 个 进程 ID 启动 OSPF。 这 个 数值 不 重要 ， 只 需 在 1 到 
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65 535 中 根据 你 的 喜好 选择 一 个 即 可 。 启用 OSPF 进程 后 , 必须 使 用 通配符 和 指定 区 域 命令 来 配置 你 希望 通 
过 OSPF 进行 通告 的 网 络 。 答 案 F 是 错误 的 ， 因 为 在 参数 区 域 后 和 所 列 出 的 区 域 号 之 前 必须 有 一 个 空格 。 

(16) A。 在 任何 类 型 的 点 到 点 链 路 上 都 不 指定 DR。 由 于 hub/spoke 拓扑 , 在 NBMA 点 到 多 点 的 网 络 中 
也 不 指定 DRMBDR。DR 和 BDR 在 广播 和 非 广播 多 路 访问 网 络 中 选举 。 默 认 情况 下 ， 帧 中 继 就 是 一 个 非 广 
播 多 路 访问 网 络 (NBMA ) 。 

(17) A、B、C。OSPF 是 分 级 设计 的 ， 不 像 REP， 为 平面 设计 。 这 样 就 减少 了 路 由 的 开销 ， 提 高 了 会 聚 
的 速度 ， 并 将 网 络 的 不 稳定 性 限制 在 单一 区 域 。 

(18) C。 在 路 由 选择 协议 中 ,管理 距离 (AD ) 是 一 个 很 重要 的 参数 。AD 值 越 低 ， 表 明 路 由 越 可 车 。 如 果 
同时 运行 IGRP 和 OSPF， 默 认 情况 下 IGRP 的 路 由 拥有 更 低 的 AD,， 其 值 为 100, 而 OSPF 的 AD 值 为 110, 因 
此 在 路 由 表 中 将 只 会 出 现 IGRP 的 路 由 。RIPv1 和 RIPv2 的 AD 值 都 是 120， 而 EIGRP 的 是 最 低 ， 其 值 为 90。 

(19) B。 图 中 的 网 络 被 认为 是 一 个 不 连续 的 网 络 ， 因 为 它 是 一 个 经 子 网 划分 的 有 类 网 络 ， 并 且 被 另外 一 
个 有 类 地 址 所 分 割 。 只 有 RIPV2、OSPF 和 EIGRP 可 以 工作 在 不 连续 的 网 络 中 ,但 在 默认 情况 下 RIPv2 和 
EIGRP 都 不 能 正常 运行 。 你 必须 在 路 由 选择 协议 的 配置 下 使 用 no auto-summary 命令 。 

(20) B。 在 OSPF 进程 启动 时 , 任何 激活 接口 的 最 高 PP 地址 都 将 会 成 为 此 路 由 器 上 的 路 由 器 ID (RID ) 。 
如 果 你 有 一 个 配置 好 的 环 回 接口 ( 逻辑 接口 ) , 那么 它 可 以 覆盖 接口 的 卫 地址, 并 自动 成 为 路 由 器 的 RID。 
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(1) EIGRP 所 支持 的 4 个 被 路 由 协议 分 别 是 : IP、IPv6、IPX 和 AppleTalk 

(2) 在 有 不 止 一 个 EIGRP 会 议和 进程 运行 时 ， 再 发 布 是 必需 的 ， 它 们 用 不 同 的 ASN 来 识别 。 再 发 布 可 
以 共享 EIGRP 会 话 的 拓扑 信息 

(3) router eigrp 300 

(4) network 172.10.0.0 

(5) 被 动 接口 

{6) router ospf 101 

(7) show ip ospf 

(8) show ip ospf interface 

(9) show ip ospf neighbor 

(10) show ip ospf database 
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本 章 将 涵盖 如 下 CCNA 考试 要 点 : 

v 配置 、 验 证 和 排 错 带 有 VLAN 设置 的 交换 机 以 及 交换 机 间 通 信 

口 选择 合适 的 介质 、 电 缆 、 端 口 和 连接 器 ， 将 交换 机 与 其 他 网 络 设备 和 主机 连接 起 来 ; 

口 解释 以 太 网 的 技术 和 介质 访问 控制 方法 ; 

口 解释 网 络 分 段 和 基本 的 网 络 流量 管理 概念 ; 

口 解释 交换 的 基本 概念 及 思科 交换 机 的 操作 ; 

口 执行 并 验证 交换 机 的 初始 配置 任务 ， 包 括 远 程 访问 管理 ; 

口 使 用 基本 工具 (包括 ping、traceroute、Telnet、SSH、arp 和 ipconfig ) 及 SHOW 和 DEBUG 命 
令 ， 验 证 网 络 状 态 和 交换 机 的 操作 ; 

口 识别 、 诊断 并 解决 交换 式 网 络 中 的 常见 问题 ， 包 括 网 络 介质 问题 、 配 置 问题 、 自 动 协商 和 交 
换 机 硬件 失效 问题 。 

在 思科 ， 当 人 们 讨论 CCENT 或 者 CCNA 中 的 交换 时 ， 他 们 所 指 的 都 是 第 2 层 交 换 ， 除 非 谈论 其 
他 的 内 容 。 所 谓 第 2 层 交 换 就 是 在 LAN 上 使 用 设备 的 硬件 地 址 对 网 络 进行 分 段 的 过 程 。 对 这 些 内 容 ， 
我 们 曾经 给 出 过 基础 性 的 介绍 ， 因 此 ， 下 面 将 集中 讨论 第 2 层 交 换 ， 并 着 重 说 明 它 的 工作 机 理 。 

大 家 知道 交换 技术 用 来 将 大 的 冲突 域 分 隔 为 小 的 冲突 域 ， 而 所 谓 的 冲突 域 ， 就 是 指使 用 两 个 或 多 
个 设备 对 网 络 进行 分 段 所 形成 的 可 共享 同一 带宽 的 区 域 。 由 集线器 所 构成 的 网 络 就 是 构成 这 种 冲突 域 
的 典型 例子 。 但 是 ， 由 于 交换 机 上 的 每 个 端口 实际 上 是 它 自己 的 冲突 域 ， 所 以 ， 只 要 用 交换 机 将 集 线 
器 进行 简单 地 替换 ， 就 可 以 马上 得 到 一 个 性 能 有 很 大 提升 的 以 太 局 域 网 。 

交换 机 从 根本 上 改变 了 网 络 的 设计 及 实现 方式 。 如 果 能 将 一 个 纯粹 的 交换 式 设计 正确 地 实施 , 那 
么 我 们 就 绝对 会 得 到 一 个 简洁 、 性 价 比 高 且 易 于 灵活 扩展 的 互联 网 络 。 本 章 将 在 介绍 交换 技术 的 同时 
回顾 并 比较 网 络 的 设计 演变 。 

路 由 选择 协议 ( 如 第 8 章 介绍 的 RIP ) 可 以 防止 在 网 络 层 形成 网 络 环 路 。 然 而 ， 对 于 因 交 换 机 之 
间 存 在 宛 余 物理 链 路 而 在 数据 链 路 层 上 形成 的 环 路 ， 路 由 选择 协议 无 能 为 力 。 这 就 是 开发 生成 树 协议 
的 原因 所 在 ， 它 可 以 防止 在 第 2 层 交 换 式 网 络 中 形成 环 路 。 交 换 式 网 络 生成 树 协议 的 要 点 ， 以 及 它 在 
交换 式 网 络 中 的 工作 原理 ， 都 是 本 章 所 要 涵盖 的 重要 主题 。 

本 章 使 用 3 台 交 换 机 来 展开 对 交换 式 网 络 配置 的 介绍 ， 稍 后 我 们 还 将 在 第 11 章 继续 介绍 其 后 续 


| 10.1 第 2 层 交 换 出 现 之 前 385 
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我 们 回忆 一 下 过 去 ,来 看 一 下 在 交换 机 出 现 之 间 网 络 的 结构 是 怎样 的 ,并 由 此 来 理解 为 什么 公司 
LAN 需要 借助 交换 机 来 实现 分 段 。 在 LAN 交换 出 现 之 前 ， 典 型 的 网 络 设计 如 图 10-1 所 示 。 


服务 器 场 


远程 分 支 机 构 


图 10-1 交换 出 现 之 前 


图 10-1 中 的 设计 被 称 为 折 杰 式 骨干 结构 , 这 是 因为 所 有 的 主机 都 只 有 连接 到 公司 的 骨干 网 才能 获 
得 所 需 的 网 络 服务 一 LAN 和 大 型 机 都 如 此 。 
_ 再 往 前 追溯 一 些 , 在 能 够 使 用 路 由 器 和 集线器 等 设备 进行 物理 分 段 ( 即 如 图 10-1 所 示 的 情况 ) 的 
网 络 出 现 之 前 , 那 时 的 网 络 是 大 型 机 网 络 。 其 中 包含 大 型 机 ( IBM、Honeywell、Sperry、DEC, 等 等 )、 
控制 器 和 连接 到 控制 器 上 的 哑 终 端 。 所 有 的 远程 站 点 都 是 通过 网 桥 连接 到 大 型 机 上 的 。 

此 后 ， 随 着 PC 机 的 闪 亮 登台 ,大 型 机 开始 连接 到 安装 有 服务 器 的 以 太 网 或 令 牌 环 的 LAN 上 。 这 
些 服 务 器 通常 运行 的 是 OS/2 或 LNAManager， 因 为 那 时 还 没有 NT。 建 筑 物 的 每 一 层 都 用 同 轴 电 缆 或 
双 绞 线 连接 到 公司 的 骨干 网 络 上 ， 然 后 再 连接 到 路 由 器 。PC 机 上 需要 运行 一 种 可 以 连接 到 大 型 机 服 
务 的 仿真 软件 程序 ， 这 样 就 可 以 同时 使 用 来 自 大 型 机 和 LAN 的 服务 。 最 后 ， 随 着 PC 机 的 性 能 不 断 增 
强 , 应 用 程序 的 开发 者 为 它 开 发 了 比 以 往 任何 时 候 都 更 为 有 效 的 应 用 ， 这 极 大 地 降低 了 网 络 连接 的 成 
本 ， 促 进 了 商业 应 用 的 高 速 增长 。 

20 世纪 80 年 代 后 期 和 90 年 代 初 期 ， 当 Novell 开始 更 为 流行 时 ，OS/2 和 LAN Manager 服务 器 逐 
步 被 NetWare 服务 器 取代 。 由 于 Novell 3x 服务器 是 基于 客户 端 /服务 器 软件 来 进行 通信 的 ， 这 使 以 太 
网 的 应 用 变 得 更 加 普遍 。 

这 就 是 图 10-1 中 所 示 的 网 络 产生 和 形成 的 过 程 。 在 这 里 只 有 一 个 问题 , 随 着 公司 骨干 网 络 的 不 断 
增长 , 网 络 服务 变 得 更 加 缓慢 。 导致 这 一 状况 的 主要 原因 是 , 在 巨大 的 业务 量 爆发 性 增长 的 同时 , LAN 
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服务 也 需要 成 倍 地 加 快 , 网络 因此 变 得 完全 饱和 。 所 有 的 人 都 想 扔 掉 Mac 和 连接 大 型 机 服务 的 哑 终 端 ， 
大 家 更 喜爱 灵活 的 新 型 PC 机 ， 因 为 PC 机 让 他 们 更 容易 连接 到 公司 的 骨干 网 络 和 网 络 服务 上 。 

而 所 有 这 一 切 都 发 生 在 因特网 极为 盛行 之 前 ， 公 司 中 的 每 个 人 都 需要 访问 公司 提供 的 服务 。 为 什 
么 ? 因为 那 时 没有 因特网 ， 所 有 的 网 络 服务 都 是 内 部 的 ， 为 公司 网 络 所 专用 。 这 就 产生 了 对 这 个 巨大 
而 慢 速 的 网 络 进行 分 段 的 强烈 需求 , 特别 是 那些 使 用 行动 迟缓 的 老式 路 由 器 连接 起 来 的 网 络 。 刚 开始 ， 
思科 开发 了 高 速 的 路 由 器 ( 这 无 疑 也 是 有 意义 的 )， 但 真正 的 需求 是 对 网 络 进行 更 多 的 分 段 ， 特 别 是 
在 以 太 式 局 域 网 上 。 快 速 以 太 网 的 出 现 也 是 一 件 令 人 欣慰 的 事情 ， 它 产生 了 一 定 作 用 , 但 也 没 能 从 根 
本 上 解决 网 络 分 段 的 需求 问题 。 

而 网 桥 却 可 以 满足 这 样 的 需求 ， 于 是 它们 被 首先 用 于 网 络 中 冲突 域 的 分 隔 上 。 网 桥 的 端口 数量 非 
常 有 限 ， 它 们 所 能 够 提供 的 其 他 网 络 服务 也 同样 有 限 ， 于 是 ， 第 2 层 交换 机 现 身 救 场 。 就 如 同 网 桥 一 
样 ， 通 过 在 每 个 端口 上 提供 分 隔 的 冲突 域 ， 交 换 机 从 根本 上 解决 了 问题 ， 不 同 的 是 ， 交 换 机 可 以 提供 
几 百 个 端口 ! 图 10-2 中 给 出 了 这 种 早期 的 交换 式 局 域 网 。 


服务 器 场 2 a 


远程 分 支 机 构 


图 10-2 ”最初 的 交换 式 局 域 网 


每 台 集线器 都 被 连接 到 一 个 交换 机 端口 上 ， 这 一 变革 极 大 地 提升 了 网 络 的 性 能 。 这 样 ， 每 个 建筑 
物 不 再 被 强压 人 同一 个 冲突 域 中 ,每 个 集线器 都 拥有 了 独立 的 属于 自身 的 冲突 域 。 但 是 仍 需 面 对 的 一 
个 问题 是 ， 由 于 交换 机 端口 在 当时 是 一 个 新 生 事物 ， 所 以 它 的 价格 异常 昂贵 。 正 是 由 于 这 个 原因 ， 在 
建筑 物 的 每 一 层 简 单 地 添加 交换 机 的 设想 并 未 实现 ， 至 少 目前 还 未 实现 。 随 着 技术 的 变革 ， 交 换 机 的 
价格 终于 降 了 下 来 因此， 就 目前 而 言 ， 将 每 个 用 户 都 连接 到 交换 机 的 端口 上 是 一 个 非常 好 而 且 可 行 
的 思路 。 
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因此 ， 如 果 你 正在 准备 设计 一 个 网 络 并 将 它 实现 ， 那 么 ， 必 须 在 网 络 中 包含 交换 式 服务 。 当 前 典 
型 的 简单 网 络 设计 应 该 如 图 10-3 中 所 示 个 完整 的 交换 式 网 络 设计 和 实现 。 


图 10-3 典型 的 交换 式 网 络 设计 


你 发 现 :“ 这 里 还 保留 了 一 台 路 由 器 ? ”是 的 ， 你 没 看 错 ， 这 里 确实 是 有 一 台 路 由 器 。 但 这 台 路 
由 器 的 功能 已 经 发 生 了 改变 , 它 是 用 于 完成 逻辑 分 段 的 ， 它 创建 并 管理 逻辑 和 物理 分 段 。 逻 辑 上 的 分 
段 被 称 为 VLAN， 将 在 本 章 和 第 11 章 进行 详细 地 讨论 ， 而 在 第 11 章 中 VLAN 将 是 主角 。 
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与 网 桥 使 用 软件 来 创建 和 管理 过 滤 表 不 同 , 交换 机 使 用 专用 的 集成 电路 ( ASIC ) 来 创建 并 维护 其 
过 滤 表 。 但 是 将 第 2 层 交 换 机 理解 为 多 端口 网 桥 仍 是 可 以 的 ， 这 是 因为 将 它们 使 用 在 网 络 中 的 基本 目 
的 是 一 样 的 一 一 用 于 分 隔 冲 突 域 。 
第 2 层 的 交换 机 和 网 桥 在 工作 时 要 比 路 由 器 快 许多 ， 因 为 它们 不 会 花费 时 间 去 查看 网 络 层 头 部 的 
信息 。 它 们 只 是 在 决定 转发 、 泛 洪 或 是 丢弃 数据 帧 之 前 查看 帧 的 硬件 地 址 。 
与 集线器 不 同 , 交换 机 能 够 创建 私有 的 、 专 用 的 冲突 域 , 并 且 能 够 在 每 个 端口 上 提供 独立 的 带宽 。 
第 2 层 交 换 可 以 提供 下 列 功 能 : 
口 基于 硬件 的 桥接 (ASIC ); 
口 线 速 (wire speed ); 
口 低 延 迟 ; 
口 低 成 本 。 
第 2 层 交 换 之 所 以 能 够 这 样 高 效 ， 是 因为 它 没有 对 数据 包 进 行 任何 修改 。 设 备 只 是 读 取 数据 包 的 
帧 封装 ， 与 路 由 选择 的 过 程 相 比 ， 交 换 过 程 就 显得 相当 快捷 ， 而 且 不 容易 出 错 。 
如 果 将 第 2 层 交 换 同时 用 于 连接 工作 组 和 网 络 分 段 ( 即 分 隔 冲突 域 )， 那 么 ， 与 传统 的 使 用 路 由 
分 隔 的 网 络 相 比 ， 这 一 方案 可 以 创建 更 多 网 络 分 段 。 
此 外 , 第 2 层 交 换 还 可 为 每 个 用 户 增 加 可 用 的 网 络 带宽 , 这 也 是 因为 连接 到 交换 机 的 每 个 连接 ( 接 
口 ) 都 拥有 自己 的 冲突 域 。 
下 面 的 章节 将 对 第 2 层 交 换 技 术 展 开 更 加 深入 的 讨论 。 
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10.2.1 第 2 层 交 换 的 局 限 性 


由 于 通常 都 会 将 第 2 层 交 换 归 类 为 桥接 网 络 ， 所 以 我 们 一 般 会 认为 , 它 会 与 桥接 网 络 具 有 相同 的 
难题 和 问题 。 需要 记 住 的 是 , 如 果 网 络 设计 得 当 , 网 桥 也 能 充分 发 挥 其 特性 ,， 有 助 于 网 络 的 正常 运转 ， 
但 是 要 做 到 这 一 点 就 必须 将 它们 的 特性 和 局 限 牢记 于 心 。 要 使 用 网 桥 来 完成 一 个 好 的 设计 ， 就 需要 认 
真 考虑 下 面 的 两 个 最 重要 的 方面 : 

口 必须 保证 绝对 正确 地 分 隔 冲 突 域 ; 

口 创建 可 实用 桥接 网 络 的 正确 方法 是 , 确保 网 络 中 的 用 户 会 将 80% 的 时 间 用 于 本 地 网 段 内 的 传输 。 

桥接 网 络 能 够 将 冲突 域 进行 分 隔 , 但 是 需要 记 住 的 是 , 这 样 的 网 络 仍然 处 在 一 个 大 的 广播 域 之 中 。 
默认 情况 下 ， 第 2 层 的 交换 机 和 网 桥 都 不 能 对 广播 域 进行 分 隔 一 一 这 一 问题 不 仅 限制 了 网 络 的 规模 ， 
而 且 还 限制 了 网 络 的 增长 潜力 ， 同 时 它 还 会 导致 网 络 整体 性 能 的 下 降 。 

随 着 网 络 的 增长 广播、 组 播 以 及 生成 树 的 慢 会 聚 ， 都 会 让 你 感到 十 分 恼火 。 这 些 也 正 是 第 2 层 
的 交换 机 和 网 桥 不 能 在 互联 网 络 中 完全 取代 路 由 器 (第 3 层 设备 ) 的 主要 原因 。 


10.2.2 ”桥接 与 局 域 网 交换 的 比较 


第 2 层 交换 机 只 是 拥有 更 多 端口 的 网 桥 ， 这 千 真 万 确 , 但 是 对 于 它们 之 间 的 一 些 重要 不 同 点 还 是 
必须 始终 牢记 的 : 

口 网 桥 是 基于 软件 的 ， 而 交换 机 则 是 基于 硬件 的 ， 交 换 机 使 用 ASIC 芯片 来 帮助 它们 完成 过 滤 

决策 ; 

口 交换 机 可 以 被 视 为 多 端口 网 桥 ; 

口 每 个 网 桥 只 有 一 个 生成 树 实 例 ， 而 交换 机 则 可 以 有 多 个 〈 我 们 稍 后 就 会 讨论 到 生成 树 ); 

口 大 多 数 的 交换 机 要 比 网 桥 的 端口 数量 多 很 多 ; 

口 网 桥 和 交换 机 都 将 泛 洪 第 2 层 广播 ; 

口 通过 检查 每 个 接收 到 的 数据 帧 的 源 地 址 ， 网 桥 和 交换 机 完成 了 对 MAC 地 址 的 学 习 ; 

口 网 桥 和 交换 机 都 基于 第 2 层 地 址 完成 转发 决策 。 


10.2.3 第 2 层 上 的 3 种 交换 功能 


第 2 层 上 的 交换 有 3 种 不 同 的 功能 ( 必须 牢记 ! ): 地 址 学 习 、 转 发 /过 滤 决 策 和 环 路 避免 。 

口 地 址 学 习 第 2 层 的 交换 机 和 网 桥 能 够 记 住 在 某 个 接口 上 所 收 到 的 每 个 帧 的 源 硬件 地 址 ， 而 
且 它 们 还 会 将 这 个 信息 输入 到 被 称 为 转发 /过 滤 表 的 MAC 数据 库 中 。 

口 转发 /过 滤 决 策 ” 当 在 某 个 接口 上 收 到 一 个 数据 帧 时 ， 交 换 机 就 会 在 MAC 数据 库 中 查看 其 目 
的 方 的 硬件 地 址 ， 并 找到 其 输出 接口 。 此 数据 帧 只 会 被 转发 到 相应 的 目的 端口 。 

口 环 路 避免 ”如 果 为 了 保证 元 余 而 在 交换 机 之 间 创 建 了 多 重 连接 ， 网 络 就 可 能 产生 环 路 。 在 提 
供 宛 余 的 同时 ， 生 成 树 协 议 〈STP ) 还 可 以 防止 网 络 环 路 的 产生 。 

下 面 的 几 节 将 详细 讨论 地 址 学 习 、 转 发 /过 滤 决 策 和 环 路 避免 。 

1. 地 址 学 习 

当 交 换 机 首次 通电 时 ， 其 MAC 转发 /过 滤 表 是 空 的 ， 如 图 10-4 中 所 示 。 
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MAC 转 发 /过 滤 表 
E0/0: 
EOQ/1: 
EO0/2: 
EO0/3: 


E0/0 a SD ss 
et 


i 
Ww 
i ic ; 


主机 A 主机 B 主机 C 主机 D 
10-4 ”交换 机 上 的 空转 发 /过 滤 表 

当 某 个 设备 开始 数据 发 送 ， 而 交换 机 的 某 个 接口 收 到 数据 帧 时 ， 交 换 机 会 将 数据 帧 携带 的 源 地 址 
放 人 MAC 转发 /过 滤 表 中 ， 同 时 让 它 记 住 此 发 送 设备 位 于 哪个 接口 上 。 然 后 ,交换 机 不 得 不 将 这 个 帧 
通过 每 个 可 能 的 端口 泛 洪 到 网 络 中 ， 因 为 交换 机 此 时 并 不 知道 目的 设备 实际 上 位 于 何方 。 

如 果 某 个 设备 回应 了 这 个 被 泛 洪 的 数据 帧 ， 并 回 送 了 一 个 应 答 帧 ， 那 么 交换 机 就 会 从 这 个 应 答 帧 
中 取出 源 地 址 ， 并 将 此 MAC 地 址 放 入 它 的 数据 库 中 ， 同 时 将 此 地 址 与 接收 帧 的 接口 关联 起 来 。 由 于 
交换 机 目前 在 其 过 滤 表 中 同时 有 了 两 个 相关 的 MAC 地 址 ， 因 此 这 两 个 设备 目前 就 可 以 建立 点 到 点 连 
接 了 。 这 样 交换 机 就 不 再 需要 像 一 开始 那样 对 帧 进行 泛 洪 转发 了 ， 因 为 目前 这 些 帧 可 以 而 且 也 只 能 在 
这 两 个 设备 之 间 进 行 转 发 。 正 是 由 于 这 样 的 操作 ,第 2 层 交换 机 要 比 集线器 在 性 能 上 优越 许多 。 在 使 


用 集线器 连接 的 网 络 中 ， 所 有 的 帧 每 次 都 会 从 所 有 的 端口 转发 一 一 而 不 管 是 否 需 要 这 样 做 ! 图 10-5 
给 出 了 构建 MAC 数据 库 的 操作 过 程 。 


MAC 转 发 /过 滤 表 

E0/0: 0000.8c01.000A 步骤 2 
E0/1: 0000.8c01.000B 步骤 4 
E0/2: 


E0/3: 


pa 


主机 A 。 “主机 B。。 “主机 C “主机 D” 
图 10-5 交换 机 学 习 主 机 位 置 的 方式 
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从 这 个 图 可 以 看 出 交换 机 上 连接 有 4 台 主 机 。 当 给 交换 机 加 电 时 ， 它 的 MAC 地 址 转发 /过 滤 表 中 
没有 任何 内 容 , 如 图 104 所 示 。 但 当主 机 开始 通信 时 ,交换 机 就 会 将 每 个 数据 帧 的 源 设 备 硬件 地 址 以 
及 与 该 地 址 相关 联 的 端口 一 并 放 人 地 址 表 中 。 

下 面 将 使 用 图 10-5 来 说 明 转 发 /过 滤 表 的 形成 过 程 。 

(1 主机 人 A 向 主机 B 发 送 了 一 个 数据 帧 。 主 机 A 的 MAC 地 址 是 0000.8c01.000A; 主机 B 的 MAC 
地 址 是 0000.8c01.000B。 

(2) 交换 机 在 E0/0 接口 上 接收 到 这 个 数据 帧 ， 并 将 源 地 址 放 人 MAC 地 址 表 中 。 

(3) 由 于 目的 地 址 不 在 MAC 数据 库 中 ， 就 从 所 有 接口 上 将 此 数据 帧 转发 出 去 一 一 除 源 接口 之 外 。 

(4) 主机 B 接收 到 了 数据 帧 ， 并 响应 主机 A。 交 换 机 在 接口 E0/1 上 接收 到 了 这 个 数据 帧 ， 并 将 源 
设备 的 硬件 地 址 放 人 到 MAC 数据 库 中 。 

(5) 主机 A 和 主机 B 现在 就 可 以 建立 点 到 点 连接 了 ， 并 且 只 有 这 两 个 设备 会 接收 到 这 些 数 据 帧 。 
主机 C 和 主机 D 无 法 看 到 这 些 数据 帧 ， 在 地 址 数据 库 中 也 不 会 找到 它们 的 MAC 地址 ， 因 为 它们 还 没 
有 通过 交换 机 发 送 过 数据 帧 。 

如 果 主 机 A 和 主机 B 在 特定 的 时 间 内 没有 再 次 通过 交换 机 进行 通信 , 交换 机 将 从 数据 库 中 刷新 它 
们 的 表 项 ， 从 而 尽 可 能 保持 最 新 内 容 。 

2. 转发 /过 滤 决 策 

当 交 换 机 的 接口 接收 到 一 个 数据 帧 时 ， 交 换 机 就 将 帧 中 携带 的 目的 地 址 和 转发 /过 滤 MAC 数据 库 
中 的 地 址 进行 比较 。 如 果 目 的 硬件 地 址 是 已 知 的 ， 即 已 经 被 列 入 到 数据 库 中 ， 则 该 帧 只 被 发 送 到 正确 
的 输出 接口 。 交 换 机 不 会 将 此 帧 发 送 到 除 目 的 地 接口 之 外 的 任何 其 他 接口 。 这 样 就 保留 了 其 他 网 段 上 
的 可 用 带宽 ， 这 一 方式 被 称 为 帧 过 滤 。 

但 是 ， 如 果 MAC 数据 库 中 没有 列 出 目标 方 的 硬件 地 址 ， 那 么 此 数据 帧 将 会 从 除 接收 此 帧 接口 之 
外 的 所 有 其 他 活动 接口 上 泛 洪 出 去 。 如 果 某 个 设备 响应 了 被 泛 洪 的 数据 帧 ， 则 交换 机 就 会 用 此 设备 的 
位 置 (接口 ) 信息 来 更 新 MAC 数据 库 。 

如 果 某 人 台 主 机 或 服务 器 在 此 局 域 网 中 发 送 了 一 个 广播 数据 ， 则 在 默认 情况 下 ,交换 机 会 从 除 源 端 
口 之 外 的 所 有 活动 端口 上 将 帧 泛 洪 出 去 。 记 住 ， 交换机 用 于 创建 更 小 的 冲突 域 , 但 在 默认 情况 下 ， 它 
所 连接 的 网 络 分 段 仍然 是 一 个 大 的 广播 域 。 

在 图 10-6 中， 主机 A 发 送 一 个 数据 帧 给 主机 D。 当 交换 机 接收 到 来 自主 机 A 的 数据 帧 时 ， 它 会 
如 何 处 理 ? 


Switch#sh mac address-table 
V MAC 地 址 


1 0005.dccb.d74b Fa0/4 
1 000a.f467.9e80 Fa0/S 
1 000a.f467.9e8b Fa0/6 


Fa0/3 Fa0/4 Fa0/6 


区 一时 Eee | 
图 10-6 转发 /过 滤 表 
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由 于 主机 A 的 MAC 地 址 没有 在 转发 /过 滤 表 中 ， 因 此 ， 交 换 机 会 将 此 源 地 址 和 端口 添加 到 MAC 
地 址 表 中 ， 并 将 数据 帧 转发 给 主机 D。 如 果 此 时 主机 DD 的 MAC 地 址 不 在 转发 /过 滤 表 中 , 那么 交换 机 
就 会 将 数据 帧 泛 洪 到 除了 Fa0/3 的 所 有 端口 上 。 

现在 ,来 看 一 下 命令 show mac address-table 的 输出 : 


Switch#sh mac address-table 


Vlan 


PPpPPPPPp 


Mac Address Type Ports 
0005 .dccb .d74b DYNAMIC Fa0/1 
000a.f467.9e80 DYNAMIC Fa0/3 
000a.f467.9e8b DYNAMIC Fa0/4 
000a.f467.9e8c DYNAMIC Fa0/3 
0010.7b7f.c2b0 DYNAMIC Fa0/3 
0030.80dc .460b DYNAMIC Fa0/3 
0030.9492 .a5dd DYNAMIC Fa0/1 
00d0 .58ad.05f4 DYNAMIC Fa0/1 


假定 下 面 给 出 的 MAC 地 址 就 是 上 面 的 交换 机 所 接收 到 的 帧 MAC 地 址 。 

源 MAC: 0005.dccb.d74b 

目的 MAC: 000a.f467.9e8c 

交换 机 将 会 如 何 处 理 这 个 帧 呢 ? 正确 的 答案 应 该 是 : 显然 在 MAC 地 址 表 中 将 会 找到 目的 MAC 
地 址 ， 数 据 帧 只 会 从 Fa0/3 端口 转发 出 去 。 记 住 : 如 果 在 转发 /过 滤 表 中 没有 找到 目的 方 的 MAC 地 址 ， 
交换 机 就 会 将 此 帧 在 所 有 的 端口 上 进行 转发 , 但 接收 帧 的 原始 端口 除外 ， 从 而 借助 这 种 方式 来 搜寻 目 
的 设备 。 现 在 我 们 已 经 学 习 了 交换 机 的 MAC 地 址 表 ， 以 及 交换 机 如 何 将 主机 的 MAC 地 址 添加 到 转 
. 发 /过 滤 表 中 ， 接 下 来 我 们 再 来 了 解 一 下 ， 应 该 如 何 保护 交换 机 ， 阻 止 非 授权 用 户 的 使 用 。 

@ 端口 安全 

怎样 才能 防止 不 相关 的 人 员 将 主机 连接 到 你 的 交换 机 端口 上 呢 ? 以 及 更 严重 的 情况 ,怎样 才能 防 
止 这 些 人 将 集线器 、 交 换 机 或 无 线 接 入 点 设备 连接 到 他 们 办 公 室 中 的 以 太 网 插座 上 ? 注意 在 默认 情况 
下 ，MAC 地 址 只 是 动态 地 出 现在 MAC 转发 /过 滤 数 据 库 中 。 因 此 可 以 通过 使 用 端口 安全 来 阻止 上 述 
连接 行为 。 具 体 的 操作 方式 如 下 : 

Switch#config 七 

SwitchCconfig)#int f0/1 

SwitchCconfig-if)#Sswitchport mode access 

SwitchCconfig-if)#switchport port-security ? 


aging 


mac-address 
maximum 


violation 


<cr> 


Port-security aging commands 
Secure mac address 

Max secure addresses 
Security violation mode 


由 于 所 有 思科 最 新 系列 交换 机 所 配置 的 端口 都 处 于 可 取 模 式 ( 指 当 检测 到 其 他 交换 机 连接 时 ， 端 
口 倾向 于 中 继 连接 )， 因 此 我 们 首先 必须 将 端口 的 模式 从 可 取 模 式 修 改 为 接 入 端口 ， 否 则 就 无 法 进行 
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端口 的 安全 性 配置 。 只 有 完成 这 一 修改 ， 我 们 才 可 以 继续 使 用 这 里 介绍 的 port-security 命令 。 

从 上 面 的 输出 可 以 清楚 地 看 到 ， 命 令 switchport port-security 有 4 个 可 用 选项 。 我 个 人 喜 
欢 使 用 port-security 命令 ， 因 为 它 可 以 让 我 轻松 地 管理 使 用 网 络 的 用 户 。 通 过 使 用 switchport 
port-security mac-address mac-address 命令 ,可 以 将 独立 的 MAC 地 址 分 配 到 交换 机 的 每 个 端 
口上 , 但 是 ， 如 果 选 择 这 一 方式 ， 首 先 需 要 保证 的 就 是 你 必须 要 有 充足 的 时 间 ! 

如 果 需 要 将 交换 机 的 端口 设置 为 ， 每 个 端口 只 允许 接 人 一 台 主 机 ， 并 且 当 有 人 破坏 这 一 规则 时 ， 
端口 就 会 关闭 ， 那 么 ， 完 成 这 样 的 配置 可 以 使 用 下 列 命令 : 

SwitchCconfig-if)#switchport port-security maximum 1 

SwitchCconfig-if)#switchport port-security violation shutdown 

上 面 这 些 命令 可 能 是 网 络 管理 中 最 流行 的 配置 了 ,因为 这 样 的 配置 可 以 有 效 防止 随意 用 户 接 入 他 
们 办 公 室 的 交换 机 或 接 人 点 。 将 这 个 maximum 设置 为 1( 这 也 应 该 是 端口 的 默认 安全 配置 )， 表 明 在 
那个 端口 上 只 能 使 用 一 个 MAC 地 址 ; 如 果 用 户 试 图 在 那个 网 段 上 再 添加 另 一 台 主 机 ， 交 换 机 端口 就 
会 关闭 。 一 旦 这 种 情况 发 生 ， 只 能 在 交换 机 上 手工 使 用 no shutdown 命令 来 恢复 端口 的 启用 。 

sticky 命令 是 我 最 喜欢 的 命令 之 一 。 它 不 光 功 能 很 炫 ， 名 字 也 很 炫 ! mac-address 命令 后 就 是 
这 个 命令 : 

SwitchCconfig-if)#Sswitchport port-security mac-address sticky 

Switch(config-if)#switchport port-security maximum 2 

Switch(Cconfig-if)#switchport port-security violation shutdown 

这 个 命令 主要 是 为 静态 MAC 地 址 提供 安全 保障 ， 借 助 它 就 无 需 在 网 络 配置 中 输入 每 个 用 户 的 
MAC 地 址 了 。 如 我 所 说 一 一 它 非常 酷 ! 

在 上 面 的 示例 中 ， 进 入 “stick” 端口 的 前 两 个 地 址 被 认定 为 静态 地 址 ， 并 且 不 管 在 aging 命令 中 
设置 了 多 长 时 间 ， 它们 一 直 会 是 静态 地 址 。 为 什么 这 里 要 将 它 设置 为 2 呢 ? 这 是 因为 其 中 一 个 地 址 将 
用 于 PC 机， 而 另 一 个 用 于 电话 机 。 在 下 一 章 ， 也 就 是 有 关 VLAN 的 内 容 中 ， 我 们 会 更 详细 地 讨论 这 
种 类 型 的 配置 。 


在 本 章 后 面 的 配置 示例 中 ， 还 会 再 次 涉及 端口 安全 的 内 容 。 


3. 环 路 避免 
在 交换 机 之 间 配 置 元 余 链 路 是 一 个 不 错 的 思路 ， 因 为 一 旦 某 个 链 路 出 现 了 故障 ， 元 余 链 路 可 以 防 
止 整个 网 络 的 崩 演 。 
这 听 起 来 很 棒 ， 尽 管 使 用 元 余 链 路 对 网 络 的 可 靠 运行 非常 有 帮助 ， 可 是 使 用 元 余 所 引起 的 问题 常 
常 要 比 它们 所 能 解决 的 问题 还 要 多 。 这 是 因为 网 络 传播 的 数据 帧 会 在 所 有 宛 余 链 路 上 同时 被 泛 洪 开 
来 ， 这 会 导致 网 络 环 路 和 其 他 严重 的 问题 。 下 面 给 出 的 是 宛 余 可 能 引发 的 一 些 严重 问题 。 
口 如 果 没 有 采取 任何 环 路 避免 措施 ， 交 换 机 会 通过 互联 网 络 无 止境 地 泛 洪 广播 数据 。 有 时 将 这 
一 现象 称 为 广播 风暴 。( 在 大 多 数 的 情况 下 ， 我们 还 是 将 它 视 为 一 个 不 可 接受 的 资源 浪费 ! ) 
图 10-7 给 出 了 这 一 广播 通过 互联 网 络 进行 无 限 传播 的 方式 。 注 意 观 察 ， 这 里 的 数据 帧 是 如 何 
通过 互联 网 络 的 物理 网 络 介质 不 断 被 泛 洪 传播 的 。 
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网 段 1 


网 段 2 


图 10-7 广播 风暴 


口 设备 可 能 会 收 到 同一 个 数据 帧 的 多 个 复制 ， 这 是 由 于 这 个 数据 帧 可 能 会 通过 不 同 的 网 段 在 同 
一 时 间 到 达 。 图 10-8 给 出 了 一 组 数据 帧 如 何 通过 多 个 网 段 同 时 到 达 的 情况 。 图 中 的 服务 器 向 
路 由 器 C 发 送 了 一 个 单 播 数 据 帧 。 由 于 它 是 一 个 单 播 数据 帧 ， 交 换 机 A 和 交换 机 B 都 将 转发 
这 个 帧 。 这 样 问题 就 出 现 了 ， 因 为 这 里 的 路 由 器 C 会 将 这 个 单 播 帧 接收 两 次 ， 这 样 就 会 在 网 
络 上 形成 额外 的 开销 。 

口 你 也 许 想到 了 这 种 情况 : MAC 地 址 过 滤 表 会 完全 被 源 设备 所 在 的 位 置 搞 糊 涂 ， 因 为 交换 机 可 
以 从 不 止 一 条 链 路 上 接收 到 这 个 数据 帧 。 更 糟糕 的 是 ， 被 搞 糊 涂 的 交换 机 可 能 会 “ 抓 狂 ”， 它 
会 不 断 用 源 硬 件 地 址 位 置 来 更 新 MAC 过 滤 表 ， 以 至 于 丧失 对 数据 帧 的 转发 能 力 。 这 就 是 所 谓 
的 MAC 地 址 表 不 稳定 。 

口 可 能 发 生 的 最 糟糕 的 情况 就 是 在 整个 互联 网 络 中 产生 了 多 个 环 路 。 这 将 意味 着 ， 有 些 环 路 还 
可 能 会 出 现在 其 他 环 路 中 ， 如 果 还 同时 形成 了 广播 风暴 ， 网 络 就 不 能 再 转发 任何 数据 帧 了 一 
一 对 ， 就 是 这 样 ! 


—— PB we 器 


网 段 1 


网 段 2 


图 10-8 ”多 个 数据 帧 副本 
所 有 这 些 问 题 都 可 以 使 用 “灾难 ”( 至 少 它们 已 经 非常 接近 了 ) 一 词 来 形容 ， 显 然 ， 我 们 应 该 避 
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免 这 些 极端 恶劣 的 情况 ， 如 果 避 免不了 至 少 也 应 该 通过 某 种 方式 来 修正 。 为 此 ,我 们 引入 了 生成 树 协 
议 。 研 发 这 一 协议 就 是 为 了 解决 上 面 提 到 的 各 种 问题 。 


10.3 ”生成 树 协 议 《STP) 


Compaq 很 久之 前 名 为 数字 设备 公司 (DEC ), 后 被 收购 并 更 名 为 现在 的 名 称 。 早 在 此 前 的 30 年 ， 
DEC 就 开发 出 了 生成 树 协议 的 最 初版 本 。 后 来 IEEE 研发 了 自己 的 STP 版 本 ,命名 为 802.1D。 思 科 
已 经 开始 在 其 新 生产 的 交换 机 上 完成 到 另 一 个 行业 标准 的 过 渡 ， 即 所 谓 的 802.1w。 本 节 将 主要 介绍 
STP， 但 在 此 之 前 我 们 先 来 介绍 一 些 STP 的 重要 基本 概念 。 

STP 的 主要 任务 是 防止 第 2 层 网 络 〈 网 桥 或 交换 机 ) 出 现 网 络 环 路 。 它 警惕 地 监视 着 网 络 以 找 出 
所 有 可 用 链 路 ， 并 关闭 任何 宛 余 链 路 以 确保 不 会 出 现 环 路 。STP 首先 使 用 生成 树 算 法 ( STA ) 创建 一 
个 拓扑 数据 库 ， 然 后 找 出 并 关闭 宛 余 链 路 。 运行 STP 后 , 数据 帧 就 只 能 在 STP 选 定 的 最 优 链 路 上 进行 
转发 。 

在 下 面 的 小 节 中 我 们 来 看 一 下 生成 树 协议 最 基本 的 内 容 。 


STP 是 一 种 2 层 协议 ， 用 于 维护 一 个 无 环 路 的 交换 式 网 络 。 
注意 


在 图 10-9 中 所 示 的 网 络 中 ， 生 成 树 协议 是 必需 的 。 


图 10-9 带 有 交换 环 路 的 交换 式 网 络 


在 图 10-9 中 给 出 了 一 个 带 有 元 余 拓 扑 (交换 环 路 ) 的 交换 式 网 络 。 如 果 不 在 网 络 中 采取 一 些 2 层 
协议 机 制 来 阻止 网 络 环 路 ， 此 网 络 就 会 遇 到 前 面 所 讨论 过 的 问题 : 广播 风暴 、 多 帧 复制 以 及 MAC 表 
不 稳定 。 


AN 应 该 注意 , 图 10-9 中 的 网 络 在 不 使 用 STP 的 情况 下 有 时 也 是 可 以 运行 的 , 当然 
警告 。” 它 工作 起 来 会 非常 地 缓慢 。 这 个 示例 清楚 地 展示 了 交换 环 路 所 能 造成 的 危害 。 最 粮 
糕 的 是 ， 一 旦 网 络 运转 起 来 ， 要 想 找 出 问题 的 根源 会 超级 困难 ! 


10.3.1 生成 树 术 语 
在 详细 描述 STP 在 网 络 中 的 运行 机 制 之 前 , 我 们 首先 来 学 习 一 些 基本 概念 和 术语 , 并 且 还 要 掌握 
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这 些 内 容 与 第 2 层 交 换 式 网 络 的 关联 。 

口 根 桥 ” 根 桥 是 指 拥有 最 佳 桥 ID 的 网 桥 。 对 于 STP 来 说 ， 关 键 就 是 要 为 网 络 中 所 有 的 交换 机 推 
选 出 一 个 根 桥 ， 并 使 根 桥 成 为 该 网 络 中 最 重要 的 点 。 而 网 络 中 所 有 其 他 决策 一 比如 哪个 端 
口 需要 阻塞 以 及 哪个 端口 需要 配置 为 转发 模式 一 一 都 需要 基于 与 根 桥 的 关系 进行 选择 。 一 旦 
网 络 中 的 根 桥 被 选举 出 来 ， 所 有 其 他 的 网 桥 都 需要 确定 一 个 通 往 根 桥 的 单一 路 径 。 通 往 根 桥 
的 最 佳 路 径 上 的 端口 就 被 称 为 根 端口 。 

口 BPDU 指 网 络 中 所 有 交换 机 都 需要 相互 交换 的 、 用 于 根 交换 机 选举 的 信息 ， 这 些 信息 也 会 
用 于 网 络 的 后 续 配置 。 每 台 交 换 机 都 会 对 桥 协议 数据 单元 (BPDU ) 内 的 参数 进行 比较 ， 并 
将 从 邻居 收 到 的 BPDU 放 人 自己 的 BPDU 中 ， 然 后 再 将 其 传送 给 其 他 邻居 。 

口 桥 ID STP 使 用 桥 ID 跟踪 网 络 中 的 所 有 交换 机 。 桥 ID 由 桥 优 先 级 〈 默认 情况 下 所 有 思科 交 
换 机 的 优先 级 都 为 32 768 ) 和 桥 MAC 地 址 共同 决定 。 在 网 络 中 拥有 最 小 桥 ID 的 网 桥 将 成 为 
根 桥 。 

口 非 根 桥 ” 指 除了 根 桥 外 的 所 有 网 桥 。 非 根 桥 会 与 所 有 的 网 桥 交 换 BPDU， 并 在 所 有 交换 机 上 
更 新 STP 拓扑 数据 库 ， 以 防止 环 路 并 对 链 路 失效 提供 保障 措施 。 

口 端口 开销 ” 当 两 台 交换 机 间 存 在 多 条 链 路 时 ， 端 口 开销 用 于 确定 最 佳 路 径 。 一 条 链 路 的 开销 
取决 于 链 路 的 带宽 。 

口 根 端口 ” 根 端 口 是 指 与 根 桥 直 接 相 连 的 链 路 所 在 的 端口 ， 或 者 是 通 往 根 桥 路 径 开销 最 低 的 端 
口 。 如 果 存 在 连接 到 根 桥 的 多 条 链 路 ， 那 么 只 有 检查 每 条 链 路 的 带宽 才能 确定 根 端口 ， 此 时 
最 低 开 销 的 端口 是 根 端口 。 如 果 上 行 的 多 台 交 换 机 开销 均 相 同 ， 那 么 就 使 用 带 有 和 较 低 通告 的 
桥 ID 的 那个 桥 。 当 多 条 链 路 连接 到 同一 台 设 备 时 ， 就 使 用 上 行 交 换 机 上 连接 到 最 低 端口 号 的 
端口 。 | 

口 指定 端口 ”指定 端口 是 专门 指定 的 ， 通 过 其 根 端口 到 达 根 桥 开销 最 低 的 端口 。 指 定 端口 会 被 
标记 为 转发 端口 。 

口 非 指定 端口 非 指定 端口 是 指 开 销 比 指定 端口 高 的 端口 。 确 定 根 端口 和 指定 端口 后 剩 下 的 端 
口 就 是 非 指定 端口 。 非 指定 端口 将 被 设置 为 阻塞 状态 ， 不 能 进行 转发 。 

口 转发 端口 ”转发 端口 指 能 够 进行 数据 帧 转发 的 端口 ， 它 可 以 是 根 端口 或 指定 端口 。 

口 阻塞 端口 阻塞 端口 是 指 不 能 转发 帧 的 端口 ， 设 置 阻塞 端口 是 为 了 避免 环 路 。 然 而 ， 阻 塞 端 
口 会 始终 监听 BPDU 帧 并 丢弃 其 他 所 有 帧 。 


10.3.2 生成 树 的 操作 


正如 前 面 所 讲 的 ，STP 的 任务 就 是 要 找 出 网 络 中 所 有 的 链 路 ， 关 闭 任何 元 余 链 路 ， 从 而 阻止 网 络 
环 路 的 出 现 。 

为 了 做 到 这 一 点 ，STP 首先 选举 一 个 根 桥 ， 根 桥 可 以 通过 所 有 的 端口 完成 对 数据 的 转发 ， 并 且 它 
是 该 STP 域 中 所 有 设备 的 参考 点 。. 一 旦 所 有 的 交换 机 都 同意 将 某 台 交换 机 选 为 根 桥 , 每 个 网 桥 就 必须 
找 出 属于 它 自己 的 一 个 并 且 也 是 唯一 一 个 分 派 的 根 端口 。 任 意 两 台 交 换 机 之 间 的 链 路 必须 要 有 一 个 而 
且 只 能 有 一 个 指定 端口 ， 该 端口 位 于 能 够 提供 到 根 桥 最 大 带宽 的 链 路 上 。 注 意 ， 一 个 网 桥 可 以 通过 多 
个 其 他 网 桥 到 达 根 桥 ， 也 就 是 说 这 一 路 径 可 能 不 是 最 短路 径 ， 但 一 定 是 最 快 (具有 最 大 带宽 ) 路 径 ， 
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这 一 点 很 重要 。 

显然 ， 根 桥 上 的 每 个 端口 都 是 指定 端口 〈 为 某 个 网 段 的 转发 端口 )， 因 为 根 桥 离 自 己 总 是 最 近 的 。 
等 到 尘埃 落 定之 后 ， 那 些 既 不 是 根 端口 也 不 是 指定 端口 的 端口 ， 也 就 是 那些 非 根 端口 和 非 指定 端口 ， 
全 部 被 设置 为 阻塞 状态 ， 这 样 就 破坏 了 已 构成 的 交换 环 路 。 

在 决定 航行 路 线 时 ， 如 果 只 有 一 个 人 有 决定 权 ， 事 情 会 进行 得 异常 顺利 ， 因 此 ， 在 任何 给 定 的 网 
络 中 ， 只 人 允许 有 一 个 根 桥 。 在 下 一 节 ， 我 们 会 更 加 全 面 地 讨论 根 桥 的 选举 过 程 。 

1. 选举 根 桥 

桥 ID 将 用 于 STP 域 中 根 桥 的 选举 , 并 且 当 多 个 候选 者 的 可 用 根 端口 和 路 径 开销 相等 时 , 桥 ID 也 
可 以 确定 此 STP 域 中 剩余 设备 的 根 端口 。 这 个 ID 长 8B， 其 中 包括 了 设备 的 优先 级 和 MAC 地 址 。 在 
所 有 运行 IEEE STP 版 本 的 设备 上 ， 默 认 优 先 级 为 32 768。 

为 了 确定 根 桥 ， 需 要 将 每 个 桥 的 优先 级 和 它 的 MAC 地 址 结合 起 来 。 如 果 两 个 交换 机 或 网 桥 磁 巧 
拥有 相同 的 优先 级 数值 ， 那 么 ，MAC 地 址 就 成 为 决定 哪个 设备 具有 最 低 (最 佳 ) ID 的 依据 。 如 果 有 
两 台 交 换 机 ， 分别 为 A 和 B， 它 们 都 使 用 默认 优先 级 32768， 那么 ，MAC 地 址 就 是 进行 比较 的 依据 。 
如 果 交 换 机 A 的 MAC 地 址 为 0000.0c00.1111， 而 交换 机 B 的 MAC 地 址 是 0000.0c00.2222， 这 样 ， 交 
换 机 A 将 成 为 根 桥 。 只 要 记 住 ， 在 进行 根 桥 选举 时 ， 取 值 越 小 越 好 。 

默认 情况 下 ， 在 根 桥 选 举 之 前 ，BPDU 通过 网 桥 /交换 机 的 所 有 活动 端口 每 2 秒 向 外 发 送 一 次 ， 再 
强调 一 次 ， 带 有 最 小 (最 佳 ) 桥 ID 的 网 桥 将 被 选举 为 根 桥 。 降 低 桥 的 优先 级 可 以 修改 ID 值 ， 从 而 使 
其 自动 成 为 根 桥 。 在 大 型 交换 式 网 络 中 ， 能 够 做 到 这 一 点 是 很 重要 的 ， 这 样 就 能 保证 最 佳 路 径 会 被 选 
中 。 在 这 里 需要 追求 的 是 效率 ! 

图 10-10 给 出 了 一 个 典型 的 带 有 宛 余 交 换 路 径 的 交换 式 网 络 。 首 先 ， 我 们 需要 找 出 根 交换 机 然 
后 通过 修改 交换 机 的 优先 级 ， 来 让 非 根 桥 成 为 根 桥 。 


交换 机 A 交换 机 B 
默认 优先 级 32 768 默认 优先 级 32 768 
MAC 地 址 0c0011111111 MAC 地 址 0c0022222222 


100Mbit/s Fa0/11 


100Mbit/s Fa0/12 x 
阻 和 


图 10-10 带 有 元 余 交 换 路 径 的 交换 式 网 络 


查看 图 10-10, 可 以 看 出 交换 机 A 是 根 桥 ， 因 为 它 的 桥 ID 最 小 。 为 了 阻止 交换 环 路 的 出 现 ， 交换 
机 B 必须 关闭 一 个 与 交换 机 A 相连 接 的 端口 。 记 住 ， 尽 管 交换 机 B 不 能 通过 阻塞 端口 进行 发 送 ， 但 
它 仍然 可 以 接收 BPDU 帧 。 

STP 为 了 确定 关闭 交换 机 B 上 的 哪个 端口 ， 它 首先 要 检查 每 条 链 路 的 带宽 值 ， 然 后 将 带宽 值 最 低 
的 链 路 关闭 。 由 于 在 交换 机 A 和 B 之 间 的 两 条 链 路 都 是 100Mbit/s， 因 此 ，STP 通常 会 关闭 端口 号 较 
高 的 那 一 条 链 路 。 在 这 个 示例 中 ，12 要 比 11 高 ， 因此， 端口 12 将 被 设置 为 阻塞 模式 。 

修改 软 认 优先 级 是 选择 根 桥 的 最 佳 方式 。 挑 选 距 离 网 络 中 心 最 近 的 交换 机 作为 根 桥 ， 这 样 的 配置 
可 以 保证 STP 的 快速 会 聂 ， 这 一 点 很 重要 。 

让 我 们 来 小 试 一 下 ,让 交换 机 B 成 为 网 络 中 的 根 桥 。 下 面 是 交换 机 B 的 输出 , 它 显 示 了 默认 优先 
级 。 这 里 可 以 使 用 show spanning-tree 命令 : 
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Switch BCconfig)#do show spanning-tree 
VLAN0001 
Spanning tree enabled protocol ieee 


Root ID Priority 32769 
Address 0005.74ae.aa40 
Cost 19 
Port 1 (FastEthernet0/1) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
Address 0012.7f52 .0280 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 
[output cut] 
在 这 里 ,我 们 立即 注意 到 了 两 件 事 :交换 机 B 运行 的 是 IEEE 802.1d 协议 ( 输出 中 给 出 的 是 “ieee”)， 
并 且 第 一 项 输出 (RootID ) 是 此 交换 式 网 络 中 关于 根 桥 的 信息 。 注 意 ， 这 个 根 桥 不 是 交换 机 B。 交 换 
机 B 到 根 桥 的 端口 ( 所谓 的 根 端口 ) 是 端口 1。 这 里 的 桥 中 实际 上 是 由 交换 机 B 和 VLAN ! 构成 的 
生成 树 桥 ID 的 信息 ， VLAN 1 被 表示 为 VLAN0001， 注 意 每 个 VLAN 都 可 以 有 不 同 的 根 桥 。 此 处 还 
列 出 了 交换 机 B 的 MAC 地 址 ， 可 以 看 出 ， 它 与 根 桥 的 MAC 地 址 是 不 同 的 。 
交换 机 B 的 优先 级 是 32 768， 这 是 所 有 交换 机 的 默认 优先 级 。 注 意 ， 它 在 这 里 被 显示 为 32 769， 
即 与 VLAN ID 相 加 的 结果 ， 由 此 可 以 推出 ， 对 于 VLAN 1， 它 将 显示 为 32 769。 对 于 VLAN 2 则 为 
32 770， 以 此 类 推 。 
正如 前 面 所 述 , 通过 修改 优先 级 ,可 以 指定 某 台 交 换 机 成 为 STP 网 络 中 的 根 桥 , 现在 指定 交换 机 
B 成 为 根 桥 。 可 以 使 用 下 列 命令 在 Catalyst 交换 机 上 修改 某 个 桥 的 优先 级 : 
Switch BCconfig)#spanning-tree vlan 1 priority ? 
<0-61440> bridge priority in increments of 4096 
Switch B(config)#spanning-tree vlan 1 priority 4096 


可 以 将 优先 级 设置 为 0 到 61 440 之 闻 的 任何 值 。 将 优先 级 设置 为 零 (0 ) 意味 着 ,该 交换 机 始终 
为 根 桥 〈 假设 其 他 交换 机 的 桥 ID 也 被 设置 为 0 时 ， 它 与 这 些 交 换 机 相 比 总 是 拥有 较 低 的 MAC )， 桥 
优先 级 的 数值 是 以 4096 为 间隔 递增 的 。 如 果 需 要 将 某 台 交换 机 设置 为 网 络 中 所 有 VLAN 的 根 桥 ， 那 
么 必须 修改 每 个 VLAN 的 优先 级 ，0 是 可 以 使 用 的 最 低 优先 级 。 最 好 不 要 将 所 有 交换 机 的 优先 级 都 设 
置 为 0。 
请 看 下 面 的 输出 ， 将 VLAN 1 中 交换 机 B 的 优先 级 修改 为 4096 后 ， 我 们 就 成 功 地 指定 了 这 人 台 交 
换 机 成 为 根 桥 : 
Switch BCconfig)#do show spanning-tree 
VLANOQQ1 
Spanning tree enabled protocol ieee 
Root ID Priority 4097 
Address 0012 .7f52.0280 
This bridge is the root 
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Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 4097 (priority 4096 sys-id-ext 1) 
Address 0012 .7f52.0280 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 15 
[output cut] 
现在 ， 根 桥 的 MAC 地 址 和 交换 机 B 的 桥 优先 级 一 样 了 ， 这 表明 交换 机 B 已 经 成 了 根 桥 。 需 要 了 
解 命令 show spanning-tree， 这 非常 重要 ， 在 本 章 最 后 我 们 还 会 用 到 这 个 命令 。 


不 管 你 信 不 信 ， 还 有 另 一 个 可 以 用 来 设置 根 桥 的 命令 ， 在 本 章 后 面 ， 给 出 交换 


注意 ” 机 配置 的 示例 时 ， 我 会 介绍 这 个 命令 。 


2. 生成 树 的 端口 状态 | 

对 于 运行 IEEE 802.1d STP 的 网 桥 或 交换 机 来 说 ， 其 端口 状态 会 在 5 种 不 同 的 状态 间 进 行 转换 。 

口 阻塞 ”被 阻塞 的 端口 不 能 对 数据 帧 进行 转发 ; 它 只 监听 BPDU 帧 。 设 置 阻塞 状态 是 为 了 阻止 
使 用 有 环 路 的 路 径 。 当 交换 机 通电 时 ， 所 有 端口 在 默认 情况 下 都 处 于 阻塞 状态 。 

口 侦 听 ”端口 侦 听 BPDU， 以 确保 在 开始 传送 数据 帧 之 前 ， 网 络 上 没有 环 路 出 现 。 处 于 侦 听 状 
态 的 端口 在 没有 形成 MAC 地 址 表 时 就 准备 转发 数据 帧 。 

口 学 习 ”交换 机 端口 侦 听 BPDU， 并 学 习 此 交换 式 网 络 中 的 所 有 路 径 。 处 在 学 习 状 态 的 端口 开 
始 形成 MAC 地 址 表 , 但 仍 不 能 转发 数据 帧 。 转 发 延迟 是 指 将 端口 从 侦 听 状态 转换 到 学 习 模式 
(或 从 学 习 到 转发 模式 ) 所 需 花 费 的 时 间 , 默认 设置 为 15 秒 , 可 以 用 命令 show spanning-tree 
查看 。 

口 转发 ”端口 发 送 并 接收 所 有 桥接 端口 上 的 数据 帧 。 如 果 在 学 习 状 态 结束 时 ， 端 口 仍然 是 指定 
端口 或 根 端口 ， 那 么 它 就 会 进入 转发 状态 。 

口 禁用 在 技术 上 它 不 是 一 个 可 转换 状态 ) ”处 于 禁用 状态 的 端口 (管理 上 ) 不 能 参与 帧 的 转 
发 或 组 成 STP。 禁 用 状态 下 的 端口 实质 上 是 不 工作 的 。 


只 有 在 学 习 和 转发 模式 中 ， 交 换 机 才能 形成 MAC 地 址 表 。 
注意 


在 大 多 数 情况 下 , 交换 机 的 端口 都 处 于 阻塞 或 转发 状态 。 转发 端口 通常 是 到 根 桥 开销 最 低 ( 最 佳 ) 
的 端口 。 但 如 果 网 络 拓扑 发 生 了 改变 ( 可 能 是 因为 链 路 失效 或 者 有 人 添加 了 一 台新 的 交换 机 )， 就 会 
发 现 交 换 机 上 的 端口 在 侦 听 和 学 习 状 态 之 间 转 换 。 

我 曾经 提 到 ， 阻 塞 端口 是 一 种 预防 网 络 环 路 的 策略 。 一 旦 交换 机 为 它 的 根 端口 和 任 一 指定 端口 确 
定 了 到 达 根 桥 的 最 佳 路 径 ， 那么 ， 所 有 其 他 的 元 余 端 口 都 将 处 于 阻塞 状态 。 被 阻塞 的 端口 仍 可 以 接收 
BPDU， 只 是 它们 不 能 再 发 送出 任何 帧 。 

如 果 由 于 网 络 拓扑 的 改变 ， 交 换 机 从 定 一 个 阻塞 端口 为 指定 端口 或 根 端口 ， 那 么 它 将 进入 侦 听 模 
式 ， 并 检查 所 有 收 到 的 BPDU ， 从 而 确保 一 旦 端口 进入 转发 模式 它 不 会 创建 网 络 环 路 。 
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3. 会 聚 

当 网 桥 或 交换 机 上 的 所 有 端口 都 转换 到 了 转发 或 阻塞 模式 时 ， 就 会 形成 会 聚 。 在 会 聚 完 成 之 前 ， 
无 法 转发 数据 。 是 的 ， 就 是 这 样 : 在 STP 会 聚 过 程 中 ， 所 有 的 主机 数据 都 会 停止 发 送 ! 因此 ， 如 果 你 
想 与 网 络 用 户 保持 良好 的 关系 或 者 是 长 期 保持 雇佣 关系 )， 就 必须 确保 你 的 交换 式 网 络 设计 完好 ， 
从 而 使 STP 能 够 快速 会 聚 。 

图 10-11 给 出 了 在 设计 和 实现 交换 式 网 络 时 , 必须 特别 重视 的 问题 , 从 而 保证 STP 能 够 高 效 会 聚 。 


STP 根 桥 优先 级 4096 


为 了 实现 最 快速 的 会 聚 ， 将 核心 交换 机 创建 为 STP 的 根 桥 
图 10-11 优化 的 层级 交换 机 网 络 设计 


由 于 会 聚 可 以 确保 所 有 的 设备 都 具有 一 个 协调 统一 的 数据 库 ， 因 此 会 聚 确实 相当 重要 。 但 是 我 还 
需要 再 次 强调 ， 达 到 会 聚 实际 上 要 用 掉 一 些 时 间 。 从 阻塞 转换 到 转发 模式 通常 会 需要 50 秒 的 时 间 ， 
建议 不 要 修改 这 个 默认 的 STP 定时 器 时 间 ( 但 如 果 需 要 或 处 理 大 型 网 络 时 ,可 以 调整 这 些 定时 器 的 设 
置 )。 可 以 像 图 10-11 所 示 的 那样 ， 通 过 创建 层级 交换 机 实用 设计 ， 设 法 让 核心 交换 机 成 为 STP 的 根 
桥 ， 就 可 以 让 STP 会 聚 得 又 快 又 好 。 

在 交换 机 端口 上 ， 从 阻塞 到 转发 的 典型 的 生成 树 拓扑 会 聚 时 间 为 50 秒 ， 这 样 在 服务 器 或 主机 上 
就 会 引发 超时 的 问题 ， 比 如 ， 重 新 启动 交换 机 。 针 对 这 样 的 问题 ， 可 以 在 个 别 端口 上 使 用 快速 端口 来 
禁用 生成 树 协议 。 

4. 生成 树 的 端口 快速 

如 果 交 换 机 上 连接 服务 器 或 其 他 设备 , 并 且 你 可 以 完全 确定 这 些 链 路 不 会 因为 禁用 STP 而 产生 交 
换 环 路 ， 那 么 ， 可 以 在 这 些 端口 上 使 用 所 谓 的 端口 快速 (PortFast )。 使 用 了 端口 快速 就 表明 ， 当 STP 
会 聚 时 ， 这 一 端口 无 需 花 费 50 秒 即 可 进入 转发 模式 。 

下 面 是 可 以 完成 这 一 配置 的 命令 ， 相 当 简 单 : 

Switch(config-if)#spanning-tree portfast ? 

disable Disable portfast for this interface 
trunk Enable portfast on the interface even in trunk mode 
<cr> 

关于 中 继 端 口 ， 我 们 至 今 还 没有 正式 介绍 过 ， 从 根本 上 讲 ， 中 继 端 口 用 于 连接 交换 机 ， 并 在 交换 
机 间 传 递 VLAN 信息 。 如 果 要 在 某 个 中 继 端 口上 启用 端口 快速 , 就 必须 特别 地 小 心 。 交 换 机 间 的 端口 
通常 都 需要 运行 STP， 因 此 这 不 是 典型 的 配置 。 下 面 ， 我 们 就 来 看 一 下 ， 当 在 某 个 接口 上 启用 了 端口 
快速 时 ， 交 换 机 会 给 我 们 一 些 什么 提示 : 
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Switch(config-if)#spanning-tree portfast 
%Warning: portfast should only be enabled on ports connected to a 
single host. Connecting hubs, concentrators, switches, bridges, 
etc... to this interface when portfast is enabled, can Cause 
temporary bridging loops. 
Use with CAUTION 
%Portfast has been configured on FastEthernetO/1 but will onily 
have effect when the interface is in a non-trunking mode. 
SwitchCconfig-if)# 
我 们 在 端口 F0/1 上 启用 了 端口 快速 , 注意 到 这 里 给 出 了 一 个 相当 长 的 提示 信息 , 它 告诉 你 这 样 做 要 
小 心 。 另 一 个 很 实用 的 接口 命令 是 range, 通过 它 可 以 在 交换 机 上 同时 配置 多 个 端口 。 下面 是 一 个 例子 : 
SwitchCconfig)#int range fastEthernet 0/1 - 12 
Switch(config-if-range)#spanning-tree portfast 
只 需 输入 上 面 介绍 的 range 和 配置 端口 快速 命令 再 加 一 个 回 车 ,我 们 就 可 以 将 此 交换 机 上 的 所 有 
12 个 端口 都 设置 为 端口 快速 模式 。 希望 这 种 配置 不 会 创建 任何 环 路 ! 再 次 强调 ,在 使 用 端口 快速 时 一 
定 要 特别 地 小 心 谨慎 。 同 时 还 需要 注意 ,命令 interface range 可 以 与 任何 命令 联合 使 用 。 在 上 面 
的 示例 中 ， 它 是 与 portfast 命令 一 起 使 用 的 。 
5. 生成 树 的 UplinkFast 
UplinkFast 是 思科 产品 特有 的 特性 ， 当 链 路 失效 时 UplinkFast 可 用 来 缩短 STP 的 会 聚 时 间 。 注意 ， 
与 portfast 命令 一 样 ， 在 使 用 这 个 命令 时 ， 同 样 需要 特别 地 小 心 谨慎 ! UplinkFast 特性 专门 运行 于 
交换 式 环境 中 ， 当 交换 机 至 少 有 一 个 可 替换 /备份 的 根 端口 (一 个 处 于 阻塞 状态 的 端口 ) 时 才 会 需要 使 
用 它 。 这 也 就 是 为 什么 思科 只 推荐 一 种 典型 的 应 用 ， 即 当 接 人 层 的 交换 机 端口 被 阻塞 时 ， 才 启用 
UplinkFast。 
UplinkFast 允许 交换 机 在 主 链 路 失效 之 前 就 找 出 到 根 桥 的 可 蔡 换 路 径 。 这 表明 如 果 主 链 路 失效 ， 
可 替换 的 备用 链 路 将 首先 被 启用 ,这 样 端口 就 不 用 再 等 待 通常 STP 会 聚 所 需要 的 50 秒 的 时 间 。 因 此 ， 
如 果 你 正在 运行 802.1d STP， 而 且 在 接 入 层 的 交换 机 上 配置 了 元 余 链 路 ， 那 么 ， 你 肯定 需要 打开 
UplinkFast。 但 是 ， 在 思科 多 层 设计 中 ， 如 果 不 知道 通常 用 于 分 配 层 和 核心 层 交换 机 的 可 替换 /备份 的 
根 链 路 的 拓扑 设计 结构 ， 就 不 要 轻易 使 用 Uplinkfast。 
6. 生成 树 的 BackboneFast 
与 可 以 在 本 地 交换 机 上 确定 并 快速 修复 链 路 失效 的 UplinkFast 不同, 思科 还 有 一 个 专用 的 STP 扩 
展 特 性 BackboneFast， 在 那些 无 法 与 交换 机 直接 相连 的 链 路 失效 的 情况 下 ,使 用 BackboneFast 可 以 加 
速 会 聚 。 当 运行 BackboneFast 的 交换 机 从 指定 网 桥接 收 到 一 个 劣质 BPDU， 它 就 知道 到 根 桥 的 路 径 中 
某 一 链 路 失效 了 。 需 要 明确 的 是 ， 劣 质 BPDU 是 一 个 给 出 根 桥 和 指定 桥 等 同类 交换 机 列表 的 BPDU。 
另外 ，BackboneFast 与 UplinkFast 不 同 ，Uplinkfast 只 能 配置 在 接 入 层 交换 机 上 , 或 者 是 带 宛 余 链 
路 的 交换 机 ( 并 且 其 中 至 少 有 一 条 链 路 处 于 阻塞 模式 ), 而 BackboneFast 可 以 在 所 有 的 Catalyst 交换 机 
上 启用 , 这 样 就 能 够 检测 出 非 直 连 链 路 上 的 失效 。 启 用 BackboneFast 的 好 处 是 它 能 够 加 速生 成 树 的 再 
配置 过 程 ， 在 默认 的 50 秒 的 STP 会 聚 时 间 中 ， 它 能 节省 20 秒 钟 。 
7. 快速 生成 树 协 议 (RSTP) 802.1w 
你 是 否 希望 在 你 的 交换 式 网 络 ( 无论 是 何 种 品牌 的 交换 机 ) 中 , 不 仅 STP 配置 良好 ,而 且 在 每 台 
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交换 机 上 都 内 置 并 启用 上 面 刚刚 讨论 过 的 所 有 特性 ? 这 样 的 结果 ， 当 然 可 以 有 1! 那么 ,欢迎 进入 快速 
生成 树 协 议 (RSTP ) 的 世界 。 

思科 创建 了 PortFast、UplinkFast 和 BackboneFast 来 “修补 ”IEEE 802.1d 标准 中 的 漏洞 和 缺陷 。 
但 这 些 改 进 特性 的 不 足 之 处 在 于 ， 它 们 都 是 思科 专用 的 ， 还 需要 进行 额外 的 配置 。 但 新 的 802.1w 标 
准 (RSTP ) 将 所 有 这 些 “ 问 题 ”都 一 并 解决 了 ， 你 需要 做 的 就 只 是 打开 RSTP。 有 一 点 很 重要 ， 即 必 
须 确 保 网 络 中 所 有 的 交换 机 都 能 正确 地 运行 802.1w 协议 。 


RSTP 确实 能 够 与 传统 的 STP 协议 实现 互 操作 ， 你 可 能 对 此 有 些 吃惊 。 但 需要 
注意 知道 ， 当 它 与 传统 的 网 桥 进行 交互 时 ，802.1w 将 下 失 其 内 在 的 快速 会 聚 能 力 。 


RSTP 并 不 是 一 个 “全 新 ”的 协议 , 但 比 起 802.1d 标准 它 又 进化 了 许多 ， 当 拓扑 发 生 改 变 时 它 具 
有 更 快 的 会 聚 时 间 。 在 创建 802.1w 时 必须 保证 向 后 的 兼容 性 。 

802.1w 重新 定义 了 5 种 端口 状态 : 

禁止 = 丢弃 

阻塞 = 丢弃 

侦 听 = 丢弃 

学 习 = 学 习 

转发 = 转发 

找 出 根 桥 、 根 端口 和 指定 端口 的 方式 并 没有 改变 ; 但 是 , 需要 重新 学 习 确 定 每 个 链 路 开销 的 方法 。 
表 10-1 给 出 了 基于 带宽 的 IEEE 开销 ，STP 和 RSTP 据 此 确定 通 往 根 桥 的 最 佳 路 径 。 


表 10-1 1IEEE 的 开销 


链 路 速度 开销 改进 的 IEEE 规 范 ) 开销 〈 原 IEEE 规 范 ) 
10 Gbit/s 2 1 
1 Gbit/s 4 1 


100 Mbit/s 19 10 
10 Mbit/s 100 100 


下 面 来 看 一 下 如 何 使 用 改进 的 IEEE 开销 规范 确定 端口 ， 图 10-12 演示 了 这 样 一 个 示例 。 

在 图 10-12 中 ， 哪 个 交换 机 会 变 成 根 桥 ， 而 哪些 端口 又 会 成 为 根 端口 和 指定 端口 呢 ? 

交换 机 C 拥 有 最 低 的 MAC 地 址 ， 因 此 ， 交换 机 C 将 成 为 根 桥 ， 并 且 根 桥 上 的 所 有 端口 都 是 转发 
端口 ， 可见， 这 是 最 容易 的 部 分 。 交 换 机 A 的 根 端口 是 哪个 ? 如果 交 换 机 A 和 交换 机 B 之 间 的 路 径 
都 是 吉 比 特 的 ,那么 它 的 开销 只 能 是 4， 但 是 它们 之 间 是 快速 以 太 网 链 路 ， 因 此 交换 机 A 和 了 B 之 间 的 
链 路 开销 是 19。 看 一 下 交换 机 B 和 CC 之 间 的 链 路 开销 , 可 以 看 出 这 一 开销 为 4， 因为 它 是 吉 比 特 的 链 
路 ; 然而 ， 由 于 交换 机 D 和 C 之 间 是 快速 以 太 网 链 路 ， 因 而 其 开销 为 9， 与 交换 机 A 和 B 之 间 的 链 
路 是 相同 的 。 从 交换 机 A 到 C 中 间 通 过 交换 机 了 B 和 D 的 路 径 总 开销 为 19+4+19 = 42。 如 果 从 交换 机 A 
直接 到 交换 机 C， 开 销 更 低 ( 19 )， 因此， 在 交换 机 A 上 Fa0/1 就 是 我 们 的 根 端口 。 对 于 交换 机 B， 最 
佳 路 径 经 由 交换 机 D, 它 的 开销 为 4+19 = 23, 于 是 , 交换 机 B 上 的 Gi0/1 为 根 端口 ， 而 交换 机 D 上 的 
Gi0/2 为 根 端口 。 在 交换 机 A 和 B 之 间 的 链 路 上 ， 我 们 只 和 需要 一 个 转发 端口 ， 由 于 交换 机 A 拥有 更 低 
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的 桥 ID， 因 此 交换 机 A 的 Fa0/2 将 成 为 转发 端口 。 所 有 没有 在 这 里 列 出 的 端口 都 将 进入 阻塞 模式 ( 非 
指定 状态 )， 用 于 阻止 环 路 的 出 现 。 


交换 机 A 交换 机 B 
MAC 地 址 MAC 地 址 
0013.8039.9500 0013.80d7.d580 


i pa 


交换 机 C 交换 机 D 


MAC 地 址 MAC 地 址 
0013.8030.5e80 0013.80c7.9700 
哪个 是 根 桥 ? 
哪些 是 根 端口 ? 


哪些 是 指定 端口 (F) ? 
图 10-12 RSTP 示 例 1 


如 果 还 是 不 太 清 楚 ， 记 住 只 需要 找 出 根 桥 ,然后 判断 出 根 端口 ， 然 后 是 指定 端口 。 理 解 这 些 内 容 
的 最 佳 方式 就 是 实践 ， 因 此 ， 我们 再 来 看 一 个 示例 ， 如 图 10-13 所 示 。 


00-0E-D7-5A-FD-00 00-0D-BD-C3-71-80 


100 Mbit/s 


100 Mbit/s 100 Mbit/s 


1 Gbit/s 
00-0D-BD-C3-37-C0 00-0D-BD-C3-4E-80 


图 10-13 RSTP 示 例 2 


哪个 网 桥 会 成 为 根 桥 ? 由 于 所 有 的 优先 级 都 设 定 为 默认 情况 ，SW-C 将 成 为 根 桥 ， 因 为 它 拥有 最 
低 的 MAC 地 址 。 我 们 很 快 就 会 发 现 ，SW-D 有 一 个 连接 到 SW-C 的 吉 比 特 端口 ， 因 此 它 将 成 为 SW-D 
的 根 端 口 ， 其 开销 为 4。SW-B 的 最 佳 路 径 也 是 直接 连接 到 SW-C 的 吉 比 特 端口 ， 其 开销 也 为 4, 但 是 
SW-A 呢 ? SW-A 的 根 端口 不 会 是 直接 相连 的 100 Mbits 端口 ， 它 的 开销 为 19, 而 连接 到 SW-D 的 吉 比 
特 端 口 和 随后 连接 到 SW-C 的 吉 比 特 端口 ， 它 们 的 总 开销 只 为 8。 

在 本 章 后 面 ， 我 将 演示 如 何 配置 RSTP， 操 作 过 程 实际 上 相当 简单 。 
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8. EtherChannel 

除了 配置 元 余 链 路 并 允许 STP 将 某 条 链 路 设置 为 阻塞 ( BLK ) 模式 之 外 ,我 们 还 可 以 将 多 条 链 路 
捆绑 在 一 起 创建 逻辑 上 的 聚合 ， 这 样 多 条 链 路 可 以 像 单一 链 路 那样 工作 。 既 然 这 种 做 法 与 STP 一 样 ， 
也 可 以 提供 同样 的 宛 余 性 ， 那 么 为 什么 我 们 不 将 这 些 元 余 的 链 路 捆 在 一 起 使 用 呢 ? 

同样 ， 这 里 也 有 两 个 不 同 的 版 本 可 供 选 择 ， 思 科 的 EtherChannel 和 IEEE 的 端口 通道 协商 协议 的 
版 本 。 思 科 的 版 本 被 称 为 端口 聚合 协议 (PAgP ), 而 IEEE 的 802.3ad 的 标准 则 被 称 为 链 路 聚合 控制 协 
议 (LACP )。 这 两 个 版 本 都 很 好 用 ， 但 配置 各 不 相同 。 在 本 章 的 结尾 部 分 ， 我 会 找 点 儿 乐 子 ， 演 示 一 
下 对 几 条 链 路 的 捆绑 配置 。 稍 安 勿 躁 ， 在 下 一 小 节 ， 我 们 会 全 面 讨论 STP 扩展 涵盖 的 所 有 配置 。 
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思科 Catalyst 交换 机 有 许多 种 型 号 ， 其 中 一 些 运 行 在 10 Mbiys， 而 另 一 些 则 在 其 由 双 绞 线 和 光纤 
组 合 的 交换 端口 上 ， 可 以 运行 各 种 速率 ， 最 高 可 达 10 Gbits。 新 型 号 的 交换 机 ( 特别 是 2960 和 3560 系 
列 ) 更 加 智能 ， 因 此 具有 更 快 的 数据 传输 速率 ， 包 括 音频 和 视频 服务 方面 的 支持 。 

下 面 就 来 深入 了 解 一 下 这 些 交换 机 ， 这 里 将 介绍 如 何 使 用 命令 行 界面 (CLI ) 来 启动 并 配置 思科 
Catalyst 交换 机 。 完 成 本 章 有 关 交 换 机 基本 配置 命令 的 学 习 之 后 ， 下 一 章 继续 介绍 如 何 配置 VLAN 以 
及 交换 机 间 链 路 (ISL )、802.1q 中 继 和 思科 虚拟 中 继 协议 (VTP ) 等 内 容 。 

下 面 是 后 续 小 节 中 我 们 需要 完成 的 基本 学 习 任 务 : 

口 管理 功能 ; 

口 配置 下 地址 和 子 网 掩 码 ; 

口 设置 下 默认 网 关 ; 

口 设置 端口 安全 ; 

口 设置 PortFast; 

口 启用 BPDU 护卫 和 BPDU 过 滤器 ; 

口 启用 UplinkFast; 

口 启用 BackboneFast; 

口 启用 RSTP (802.1w); 

口 启用 EtherChannel; 

口 配置 一 个 STP 根 交换 机 。 


可 以 在 www.ciscos.com/en/US/products/hw/switches/index.html 上 , 找到 有 关 思 科 
注意 Catalyst 交换 机 系列 产品 的 所 有 相关 资料 。 


10.4.1 Catalyst 交换 机 的 配置 


正如 在 第 8 章 和 第 9 章 中 对 路 由 器 所 进行 的 配置 一 样 ,在 本 章 和 第 11 章 中 我 们 将 使 用 图 解 和 交换 
机 组 来 完成 配置 。 图 10-14 给 出 了 我 们 后 续 使 用 的 交换 式 网 络 。 
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‘nv 
10-14 ”我 们 所 使 用 的 交换 式 网 络 


这 里 将 使 用 一 台新 型 的 3560、 一 台 2960 和 一 台 3550 交换 机 。 记 住 ， 网 络 中 所 示 的 主机 、 电 话机 
和 路 由 器 ， 进 入 第 11 章 的 学 习 时 它们 会 变 得 更 加 重要 。 

在 开始 对 Catalyst 交换 机 进行 实际 配置 之 前 ， 需 要 先 学 习 一 下 交换 机 的 启动 过 程 ， 就 像 在 第 7 章 
中 对 路 由 器 进行 配置 前 先 讲解 的 内 容 一 样 。 图 10-15 给 出 了 一 台 典 型 的 思科 Catalyst 交换 机 的 详 图 ， 这 
里 会 逐一 介绍 它 的 各 种 接口 和 特性 。 


系统 LED 


图 10-15 思科 Catalyst 交换 机 


首先 需要 注意 的 是 ，Catalyst 交换 机 的 控制 台 端口 通常 位 于 交换 机 的 后 背 板 上 。 但 是 在 图 中 给 出 
的 这 种 3560 小 型 交换 机 上 ， 这 个 控制 台 端 口 则 是 在 前 面板 上 ， 这 样 便于 使 用 〈8 个 端口 的 2960 看 上 
去 完全 相同 ) 如 果 POST 成 功 完成 , 则 系统 的 LED 指示 灯 就 会 变 绿 ; 如 果 POST 失败 , 则 系统 的 LED 
就 会 变 成 黄色 。LED 亮 起 了 黄色 表示 出 现 了 问题 ， 通 常 还 都 是 致命 的 问题 。 因 此 ， 你 应 该 有 一 台 备用 
交换 机 ， 以 防 运营 中 的 交换 机 出 现 故障 ! 底部 的 按钮 用 来 显示 哪 一 个 灯 提 供 以 太 网 供电 (PoE ), 可 以 
通过 按 下 Mode 按钮 来 查看 这 一 状态 。 对 于 以 上 系列 的 交换 机 ，PoE 是 一 个 非常 好 的 功能 ， 允 许 我 们 
通过 以 太 网 电缆 为 连接 到 交换 机 的 无 线 接 入 点 和 电话 机 供电 。 

现在 如 果 我 们 需要 像 图 10-14 所 示 的 那样 将 交换 机 与 其 他 交换 机 连接 ， 首 先 需 要 注意 的 是 ， 交 换 
机 间 的 连接 需要 使 用 交叉 电缆 。 而 2960 和 3560 交换 机 能 够 自动 地 识别 连接 类 型 ， 因 此 ， 在 这 里 可 以 
使 用 直通 电缆 。 但 2950 或 3550 交换 机 不 具备 自动 识别 电缆 类 型 的 能 力 。 不 同 的 交换 机 会 有 不 同 的 需 
求 和 能 力 ， 因 此 ， 在 将 不 同 的 交换 机 连接 到 一 起 时 ， 要 牢记 这 一 点 。 

首次 将 交换 机 的 端口 连接 在 一 起 时 ， 链 路 灯 先 是 黄色 ， 随 后 变 绿 ， 表 示 可 以 正常 操作 了 。 这 是 生 
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成 树 会 京 ， 正 如 你 所 知道 的 ， 在 没有 启用 生成 树 的 加 速 扩展 时 ， 这 个 会 聚 过 程 大 约 需 要 耗 时 50 秒 。 
当 连 接 到 交换 机 端口 时 ， 如 果 交 换 机 端口 LED 的 总 在 绿色 和 黄色 之 间 交 替 变 化 ， 这 就 表明 此 端口 处 
于 故障 中 。 如 果 发 生 了 这 种 情况 ， 可 以 检查 一 下 主机 的 网 卡 或 连接 电缆 。 

1. S1 

我 们 从 连接 到 每 台 交换 机 并 设置 其 管理 功能 来 开始 我 们 的 配置 操作 。 为 每 台 交 换 机 分 配 一 个 IP 
地 址 ， 注 意 这 对 于 网 络 功能 的 实现 来 说 ， 并 不 是 真正 必需 的 。 这 样 做 唯一 的 理由 就 是 ， 借 助 这 一 配置 
我 们 可 以 对 交换 机 进行 远程 管理 /控制 ， 例 如 ， 通 过 远程 登录 实施 的 控制 。 这 里 将 使 用 一 个 简单 的 人 P 
地 址 方案 来 进行 配置 , 比如 192.168.10.16/28。 你 应 该 对 这 一 掩 码 表 示 很 熟悉 了 ! 查看 一 下 下 面 的 输出 : 

Switch>en 

Switch#config t 

Enter configuration commands, one per line. End with CNTL/Z. 

Switch(config)#hostname S1 

Sli(config)#enable secret todd 

S1Cconfig)#int f0O/1 

S1LCconfig-if)#description lst Connection to Core Switch 

Si(config-if)#int f0/2 

SiC(config-if)#description 2nd Connection to Core Switch 

SiCconfig-if)#int f0/3 

Si(config-if)#description Connection to HostA 

S1Cconfig-if)#int f0/4 

Sil(config-if)#description Connection to PhoneA 

Si(config-if)#int f0/8 

Sl(config-if)#description Connection to IVR 

S1(Cconfig-if)#1ine console 0 

S1(Cconfig-1ine)#password console 

S1(Cconfig-1ine)#1ogin 

Sli(config-l1ine)#exit 

Sl(config)#line vty 0 ? 

<1-15> Last Line number 
<Cr> 

Sli(config)#1line vty 0 15 

Sl(config-1ine)#password telnet 

Si(config-1line)#login 

SlCconfig-1line)#int vlan 1 

Si(config-if)#ip address 192.168.10.17 255.255.255.240 

SiC(config-if)#no shut 

SiCconfig-if)#exit 

Sl(config)#banner motd # This is the S1 Switch # 

Sl(config)#exit 

Sil#copy run start 

Destination filename [startup-config]? [enter] 
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Building configuration... 
[OK] 
Si1# 


这 里 首先 需要 注意 到 的 是 , 在 此 交换 机 的 物理 接口 上 没有 配置 耻 地 址 。 默认 情况 下 , 交换 机 上 的 
所 有 端口 都 是 启用 的 ， 因 此 ， 并 不 需要 太 多 的 配置 。IP 地 址 是 被 配置 在 逻辑 接口 下 的 ， 这 一 逻辑 接口 
被 称 为 管理 域 或 VLAN。 通常 情况 下 ， 都 会 使 用 VLAN 1 来 管理 交换 式 网 络 ， 正 如 我 们 在 这 里 所 做 的 
那样 。 其 余 的 配置 基本 上 与 配置 路 由 器 时 的 情形 一 样 。 记 住 ， 在 具体 的 交换 机 接口 上 不 需要 IP 地 址 ， 
同样 也 不 需要 路 由 选择 协议 ， 以 及 其 他 。 注 意 ， 在 这 里 只 需要 完成 第 2 层 的 交换 功能 ,不 包括 路 由 选 
择 ! 此 外 还 要 注意 的 是 ， 思 科 的 交换 机 上 没有 配备 辅助 端口 。 

2. S2 

以 下 是 S2 上 的 配置 : 

Switch#config t 

SwitchCconfig)#hostname S2 

S2(config)#enable secret todd 

S2(config)#int fa0/1 

2(Cconfig-if)#description lst Connection to Core 

S2(config-if)#int fa0/2 

S2(Cconfig-if)#description 2nd Connection to Core 

S2(config-if)#int fa0/3 

S2(config-if)#description Connection to HostB 

S2(config-if)#int fa0/4 

S2(config-if)#description Connection to PhoneB 

S2(config-if)#line con 0 

S2(Cconfig-]ine)#password console 

S2(config-1line)#1lo0gin 

S2(config-1ine)#exit 

S2Cconfig)#line vty 0 ? 

<1-15> Last Line number 
<cr> 

S2(config)#line vty 0 15 

S2(config-line)#password telnet 

S2(config-1ine)#1login 

S2(config-line)#int vlan 1 

S2(config-if)#ip address 192.168.10.18 255.255.255.240 

S2(config-if)#no shut 

S2(config-if)#exit 

S2(config)#banner motd # This is my S2 Switch # 

S2(config)#exit 

S2#copy run start 

Destination filename [startup-config]?[enter] 
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Building configuration... 

[OK] 

S2# 

现在 我 们 应 当 可 以 实现 从 S2 ping 通 S1。 来 试 一 下 ; 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 192.168.10.17, timeout is 2 seconds: 

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms 

S2# 

注意 这 里 有 两 个 问题 : 在 还 没有 完成 对 核心 交换 机 的 配置 之 前 ， 如 何 能 通过 它 完 成 ping 操作 ? 
还 有 ， 这 里 为 什么 只 ping 成 功 了 4 次 而 不 是 5 次 (第 一 个 句点 [.] 表 示 有 一 次 超时 ;而 感叹 号 [!] 则 表 
示 成 功 ) ? 

这 是 两 个 很 好 的 问题 。 答案 是 这 样 的 : 对 于 第 一 问题 , 无 需 配 置 交 换 机 就 可 以 工作 。 默 认 情况 下 ， 
交换 机 的 所 有 端口 都 是 启用 的 。 因 此 ， 只 要 打开 交换 机 ， 连 接 的 主机 之 间 就 可 以 进行 通信 了 。 对 于 第 
二 个 问题 ， 第 一 个 ping 之 所 以 不 能 完成 ， 是 因为 ARP 协议 在 将 全 地址 解析 为 相关 的 MAC 地 址 时 超 
时 了 。 

3. Core 

下 面 是 对 Core 交换 机 进行 的 配置 : 

Switch>en 

Switch#config t 

Switch(config)#hostname Core 

Core(config)#enable secret todd 

Core(config)#int f0/5 

Core(config-if)#description lst Connection to S2 

Core(config-if)#int fa0/é6 

Core(config-if)#description 2nd Connection to S2 

Core(config-if)#int f0/7? 

Core(config-if)#desc lst Connection to S1 

Core(config-if)#int f0/8 

Core(config-if)#desc 2nd Connection to Sl 

Core(config-if)#line con 0 

Core(config-line)#password console 

Core(config-line)#1l0ogin 

Core(config-line)#line vty 0 15 

Core(config-line)#password telnet 

CoreKCconfig-Tine)#Togin 

Core(config-line)#int vlan 1 

Core(config-if)#ip address 192.168.10.19 255.255.255.240 

Core(config-if)#no shut 

Core(config-if)#exit 
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Core(config)#banner motd # This is the Core Switch # 
Core(config)#exit 

Core#copy run start 

Destination filename [startup-config]?[enter] 
Building configuration... 

[OK] 

Core# 


下 面 我 们 将 从 Core 交换 机 来 对 S1 和 S2 执行 ping 操作 ， 看 看 情况 会 如 何 : 
Core#ping 192.168.10.17 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 192.168.10.17, timeout is 2 seconds: 
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms 
Core#ping 192.168.10.18 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 192.168.10.18, timeout is 2 seconds : 
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms 
Core#sh ip arp 


Protocol Address Age (min) Hardware Addr Type Interface 
Internet 192.168.10.18 0 001la.e2ce.ff40 ARPA Vilanl 
Internet 192.168.10.19 - 000d.29bd.4b80 ARPA Vianl 
Internet 192.168.10.17 0 001b.2b55.7540 ARPA Vilanl 
Core# 


在 对 交换 机 的 配置 进行 验证 之 前 ， 还 需要 掌握 另 一 个 命令 ,不 过 在 当前 这 个 网 络 中 ,还 用 不 到 这 
个 命令 ， 因 为 这 里 还 没有 涉及 路 由 器 。 这 个 命令 就 是 ip defau1t-gateway 命令 。 如 果 需 要 在 局 域 网 
外 部 对 交换 机 进行 管理 ， 则 应 该 在 交换 机 上 设置 默认 网 关 ， 就 像 在 主机 上 完成 的 默认 网 关 设 置 一 样 。 
可 以 在 全 局 配置 模式 下 完成 这 一 设置 。 下 面 就 是 一 个 配置 示例 , 我 们 将 本 子 网 的 最 后 一 个 全 地 址 分 配 
给 路 由 器 ( 在 下 一 章 有 关 VLAN 的 内 容 中 ， 我 们 还 会 用 到 这 台 路 由 器 )， 并 用 这 一 地 址 来 完成 配置 。 

Core#config 七 

Enter configuration commands, one per line. End with CNTL/Z. 

Core(config)#ip default-gateway 192.168.10.30 

Core(config)#exit 

Core# 

到 此 我 们 已 经 完成 了 对 这 3 台 交 换 机 的 基本 配置 ， 下 面 我 们 来 看 一 些 有 趣 的 相关 内 容 。 

4. 端口 安全 

本 章 前 面 提 到 过 ， 人 允许 任何 人 接 人 并 使 用 交换 机 ， 通 常 不 是 一 件 好 事 。 我 的 意思 是 ， 既 然 你 很 关 
注 无 线 网 络 中 的 应 用 安全 ， 为 什么 你 不 希望 在 交换 机 上 也 有 同样 的 安全 呢 ? 

答案 显然 是 肯定 的 ,你 当然 希望 交换 机 更 安全 ， 使 用 端口 安全 可 以 限制 能 够 动态 连接 到 交换 机 端 
口 的 MAC 地 址 数 ， 也 可 以 设置 静态 MAC 地 址 ， 或 者 建立 违规 用 户 处 罚 机 制 一 这 也 是 我 个 人 最 爱 
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用 的 方式 。 我 个 人 更 喜欢 这 样 的 配置 管理 ， 当 用 户 违反 了 安全 策略 交换 机 就 会 关闭 他 们 的 端口 ， 这 时 
违规 的 用 户 就 得 请 他 们 的 老板 给 我 发 一 个 备忘录 ， 解 释 他 们 为 什么 会 违反 安全 策略 ， 然 后 我 才 会 为 他 
们 重新 启用 被 关闭 的 端口 。 这 样 做 确实 可 以 帮助 他 们 记 住 自 己 曾 做 过 的 事 ! 

一 个 安全 的 交换 机 端口 可 以 与 1 到 8192 之 间 的 任意 MAC 地 址 进行 关联 ， 但 是 50 系列 交换 机 的 
这 个 关联 数量 只 能 到 132 个 ， 但 这 个 数量 对 我 来 说 已 经 足够 多 了 。 可 以 选择 让 交换 机 动态 地 学 习 这 些 
需要 关联 的 地 址 ， 或 者 使 用 命令 switchport port-security mac-address mac-address 为 每 个 
端口 设置 静态 地 址 。 

下 面 我 们 来 对 交换 机 S1 设置 端口 安全 。 在 这 个 实验 中 ， 端 口 fa0/3 和 fa0/4 只 连接 了 一 台 设 备 。 
通过 使 用 端口 安全 ， 我 们 可 以 确定 ， 一 旦 这 里 的 主机 连接 到 端口 fa0/3 并 且 电 话机 连接 到 端口 fa0/4， 
那么 其 他 设备 就 无 法 再 连接 进来 了 。 下 面 就 是 完成 这 一 配置 的 操作 : 

S1#Conf1g 七 

Enter configuration commands，one per line. End with CNTL/Z. 

SliCconfig)#int range fa0/3 - 4 

Sli(Cconfig-if-range)#switchport mode access 

Sil(config-if-range)#switchport port-security 

Si(config-if-range)#switchport port-security maximum ? 

<1-8192> Maximum addresses 

Si(config-if-range)#switchport port-security maximum 1 

SLCconfig-if-range)#switchport port-security mac-address sticky 

Sli(config-if-range)#switchport port-security violation ? 

protect Security violation protect mode 
restrict Security violation restrict mode 
shutdown Security violation shutdown mode 

Sl(config-if-range)#switchport port-security violation shutdown 

Sil(config-if-range)#exit 

第 一 个 命令 是 将 端口 的 模式 设置 为 “access” 端 口 ， 默 认 情 况 下 它们 被 设置 为 “desirable”， 即 如 
果 它 们 发 现 自身 连接 到 另外 的 交换 机 ， 它 们 倾向 于 成 为 中 继 。 当 一 个 端口 处 于 desirable 模式 时 ,在 此 
端口 上 不 能 设置 安全 端口 。 在 此 端口 上 启用 了 端口 安全 之 后 , 我 在 端口 fa0/3 和 fa0/4 设置 了 端口 安全 ， 
允许 关联 的 MAC 地 址 最 多 为 一 个 ， 而 且 只 有 第 一 个 关联 的 MAC 地 址 可 以 通过 交换 机 发 送 帧 。 如 果 
具有 不 同 MAC 地 址 的 另 一 台 设 备 也 试图 向 交换 机 发 送 帧 ,那么 , 端口 会 由 于 vio1ation 命令 被 关闭 。 
因为 自己 的 懒惰 ， 我 不 愿意 手工 为 每 台 设 备 输入 所 有 的 MAC 地 址 ， 因 此 ， 我 选择 使 用 sticky 命令 。 

现在 ,使 用 show port-security interface 命令 来 验证 下 面 这 个 端口 的 端口 安全 : 


Sl#sh port-security interface f0/3 


Port Security : Enabled 
Port Status : Secure-down 
Violation Mode : shutdown 
Aging Time : 2 mins 
Aging Type | : Inactivity 


SecureStatic Address Aging : Disabled 
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卢 


Maximum MAC Addresses 

Total MAC Addresses 

Configured MAC Addresses :0 

Sticky MAC Addresses : 

Last Source Address:Vlan : 0000.0000.0000:0 

Security Violation Count : 0 

也 可 以 不 用 关闭 端口 的 方式 ， 还 有 两 个 模式 可 用 。 保 护 模式 表明 其 他 主机 可 以 连接 到 交换 机 上 ， 
但 它 所 有 的 帧 都 会 被 丢弃 。 限 制 模式 也 相当 酷 , 它 通过 SNMP 提醒 你 端口 上 出 现 了 违规 情况 。 你 可 以 
随后 打 电 话 给 非法 使 用 者 , 并 警告 他 们 ,你 能 够 看 见 他 们 , 知道 他 们 在 做 什么 , 他 们 会 为 此 吃苦 头 的 ! 

在 此 连接 的 交换 机 间 存 在 元 余 链 路 ， 因 此 最 好 在 这 些 链 路 上 配置 运行 STP( 到 目前 为 止 )。 但 在 
S1 和 $2 交换 机 上 ， 还 有 主机 连接 到 端口 fa0/3 和 fa0/4( 核心 交换 机 没有 )。 因 此 ， 在 这 些 端 口上 要 关 
闭 STP。. 


OO 


主机 可 以 直接 连接 到 电话 的 后 面 ， 因 为 电话 机 上 通常 有 以 太 网 插口 。 因 此 ， 这 
注意 两 台 设 备 只 需要 一 个 交换 机 端口 。 在 第 11 章 有 关 电 话 的 小 节 中 ， 我们 会 深入 地 讨论 
这 一 点 。 


5. PortFast 
如 果 在 交换 机 上 使 用 portfast 命令 ， 就 可 以 防止 出 现 会 聚 时 间 过 长 导致 主机 DHCP 请 求 超时 ， 
从 而 使 主机 不 能 应 答 DHCP 地 址 的 问题 。 下 面 在 交换 机 S1 和 S2 的 端口 fa0/3 及 fa0/4 上 使 用 PortFast: 
S1#config 七 “ 
S1Cconfig)#int range f0/3 - 4 
Sl(config-if-range)#spanning-tree portfast ? 
disable Disable portfast for this interface 
trunk Enable portfast on the interface even in trunk mode 
<cr> 
Sl(config-if-range)#spanning-tree portfast 
%Warning: portfast should only be enabled on ports connected to a 
single host. Connecting hubs, concentrators, switches, bridges, 
etc.., to this interface when portfast is enabled, can Cause 
temporary bridging loops. 
Use with CAUTION 


%Portfast will be configured in 2 interfaces due to the range command 
but will only have effect when the interfaces are in a non-trunking mode. 
Sl(config-if-range)# 
现在 对 S1 的 配置 已 经 完成 了 , 我 不 再 给 出 后 续 的 输出 了 ,下 面 在 S2 的 fa0/3 和 fa0/4 端口 上 也 启 
用 PortFast。 再 提醒 一 遍 ， 使 用 PortFast 时 一 定 要 小 心 谨慎 ， 你 也 肯定 不 会 希望 由 此 创建 网 络 环 路 ! 
为 什么 要 反复 强调 这 一 点 ?因为 网 络 中 一 旦 出 现 环 路 , 表面 上 网 络 仍然 可 以 工作 (起码 看 起 来 会 是 这 
样 )， 但 数据 传递 特别 慢 ， 更 糟糕 的 是 ， 查 找 问题 的 根源 会 花费 你 很 长 时 间 ， 这 会 让 你 感 相当 的 怀 恼 。 
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因此 ， 操 作 时 一 定 要 小 心 。 
有 一 些 护卫 (safeguard ) 命令 可 以 与 PortFast 一 同 使 用 ， 可 以 防止 启用 PortFast 的 端口 意外 产生 
环 路 ， 这 看 起 来 非常 不 错 。 下 面 就 是 这 样 一 些 命令 。 
6. BPDUGuard 
在 此 之 前 曾 提 到 过 这 个 命令 : 如 果 在 交换 机 的 端口 上 打开 了 PortFast, 那么 , 启用 BPDUGuard 是 
个 不 错 的 主意 。 如 果 启 用 BPDUGuard 的 交换 机 端口 接收 到 了 一 个 BPDU， 它 会 将 端口 置 为 错误 禁用 
状态 。 这 就 可 以 防止 网 络 管理 员 不 小 心 将 另 一 台 交 换 机 或 集线器 连接 到 配置 了 PortFast 的 交换 机 端口 
上 。 基 本 上 ， 这 一 命令 可 以 阻止 这 种 情况 的 发 生 ， 防 止 网 络 参 省 ， 或 者 至 少 防止 网 络 因 环 路 而 性 能 下 
降 。 注 意 ， 只 能 在 接 人 层 的 交换 机 上 配置 这 一 命令 ， 因 为 在 接 人 层 交 换 机 上 用 户 与 交换 机 是 直接 相连 
的 ， 而 在 核心 交换 机 上 则 不 能 配置 此 命令 。 
7. BPDUFilter 
另 一 个 可 与 PortFast 同时 使 用 的 命令 是 BPDUFilter， 这 个 命令 也 非常 有 用 。 由 于 默认 情况 下 启用 
了 PortFast 的 交换 机 端口 仍 可 以 接收 BPDU, 这 时 使 用 BPDUFilter 就 可 以 完全 阻止 BPDU 从 这 一 端口 
上 进出 。 如 果 BPDUFilter 接收 到 了 一 个 BPDU， 它 会 立即 关闭 端口 的 PortFast， 并 迫使 端口 重新 成 为 
STP 拓扑 的 一 部 分 。 与 BPDUGuard 不 同 ，BPDUFilter 不 会 将 端口 置 为 错误 禁用 状态 ， 而 是 将 端口 打 
开 , 但 不 运行 PortFast。 对 于 配置 为 Portfast 的 端口 ， 没 有 理由 让 它 接 收 BPDU。 说 老实 话 ， 我 确实 不 
理解 在 启用 PortFast 时 ， 为 什么 不 默认 启用 BPDUGuard 或 者 BPDUFilter。 
下 面 我 们 为 已 经 配置 了 PortFast 的 交换 机 S1 和 S2 的 接口 设置 BPDUGuard 和 BPDUFiltter， 这 一 
过 程 相当 简单 : 
Si(config-if-range)#spanning-tree bpduguard ? 
disable Disable BPDU guard for this interface 
enable Enable BPDU guard for this interface 
Si(config-if-range)#spanning-tree bpduguard enable 
Sli(config-if-range)#spanning-tree bpdufilter ? 
disable Disable BPDU filtering for this interface 
enable Enable BPDU filtering for this interface 
Si(config-if-range)#spanning-tree bpdufilter enable 


S2(config-if-range)#spanning-tree bpduguard enable 

S2(config-if-range)#spanning-tree bpdufilter enable 

注意 , 对 于 bpduguard 和 bpdufilter 命令 , 典型 的 做 法 是 只 使 用 其 中 的 一 个 , 尽管 IOS 也 允许 
在 同一 个 接口 同时 使 用 两 个 命令 ， 但 这 两 个 命令 本 质 上 会 产生 一 定 的 对 抗 。bpdufi1ter 接收 BPDU 
后 会 将 端口 转换 到 非 PortFast 状态 ， 而 bpduguard 接收 BPDU 后 会 将 端口 置 为 出 错 禁 用 状态 ， 因 此 ， 
同时 配置 两 个 命令 ， 就 显得 有 点 “杀伤 力 过 大 ”了 。 在 配置 STP 时 ， 我 们 还 可 以 配置 一 些 其 他 的 STP 
802.1d 的 扩展 特性 。 

8. UplinkFast 

下 面 是 如 何在 接 人 层 的 交换 机 (S1 和 S2 ) 上 完成 对 UplinkFast 的 配置 : 

Sl#config t 

Sil(config)#spanning-tree uplinkfast 
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S2#config t 

S2Cconfig)#spanning-tree uplinkfast 
Sl(config)#do show spanning-tree uplinkfast 
UplinkFast is enabled 


Station update rate set to 150 packets/sec. 


UplinkFast statistics 


Number of transitions via uplinkFast (all VLANs) J 
Number of proxy multicast addresses transmitted (all VLANs) : 8 


Name Interface List 
VLANOO01 Fa0/1iC(fwd)}, Fa0/2 
Sl(config)# 


up1inkfast 是 一 个 全 局 命令 ， 它 会 在 所 有 端口 上 启用 。 
9. BackboneFast 

下 面 是 如 何在 交换 机 上 配置 BackboneFast: 
SLCconfig)#spanning-tree backbonefast 
S2Cconfig)#spanning-tree backbonefast 
Core(config)#spanning-tree backbonefast 
S2(config)#do show spanning-tree backbonefast 


BackboneFast is enabled 
BackboneFast statistics 


Number of transition via backboneFast (all VLANs) 

Number of inferior BPDUs received (all VLANs) 

Number of RLQ request PDUs received (all VLANs) 

Number of RLQ response PDUs received (all VLANsS) 

Number of RLQ request PDiUs sent (all VLANs) 

Number of RIQ response PDUs sent (all VLANs) 

S2(config)# 

注意 , 与 配置 UplinkFast 不同 ， 此 处 我 们 对 网 络 中 的 所 有 交换 机 都 进行 了 BackboneFast 配置 ,而 
不 只 限于 接 入 层 交 换 机 。 记 住 , BackboneFast 用 来 确定 远程 交换 机 上 非 直接 连接 到 根 路 径 的 链 路 失效 ， 
这 与 UplinkFast 不 同 ，UplinkFast 可 以 确定 并 快速 修复 本 地 交换 机 的 链 路 失效 。 

10. RSTP (802.1w) 

配置 RSTP 实际 上 与 配置 802.1d 的 其 他 扩展 特性 一 样 简单 。 考 虑 到 它 的 性 能 要 比 802.1d 好 得 多 ， 
你 也 许 会 认为 对 它 的 配置 要 更 为 复杂 ,但 幸运 的 是 ,并 不 复杂 。 现 在 我 们 在 Core 交换 机 上 打开 802.1w， 
看 一 下 会 有 什么 情况 出 现 : | 


OPPOMDO 
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Core#config +t 
Core(config)#spanning-tree mode ? 
mst Multiple spanning tree mode 
pvst Per-Vian spanning tree mode 
rapid-pvst Per-Vlan rapid spanning tree mode 
Core(config)#spanning-tree mode rapid-pvst 
Core(config)# 
1d02h: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vilanl, 
changed state to down 
1d02h: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlani, 
changed state to up 


很 棒 ， Core 交换 机 上 目前 正在 运行 802.1w STP。 我 们 来 验证 一 下 : 
Core(config)#do show spanning-tree 
VLANOOOL 
Spanning tree enabled protocol rstp 
Root ID Priority 32769 
Address 000d.29bd.4b80 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
Address 000d.29bd.4b80 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 


Interface Role Sts Cost Prio.Nbr Type 

Fa0/5 Desg FWD 19 128.5 P2p Peer(CSTP) 
Fa0/6 Desg FWD 19 ‘ 128.6 P2p Peer(STP) 
Fa0/7 Desg FWD 19 128.7 P2p Peer(CSTP) 
Fa0/8 Desg FWD 19 128.8 P2p Peer(CSTP) 


很 有 趣 ， 看 上 去 好 像 什么 事情 也 没 发 生 过 。 可 以 看 出 ， 在 其 他 两 台 交 换 机 上 ， 所 有 端口 都 完成 了 
会 聚 。 一 旦 所 有 事情 都 正常 了 ， 一 切 都 看 上 去 没什么 变化 。802.1d 和 802.1w 似乎 相处 得 很 好 ， 没 有 
问题 。 

但 是 ,如 果 仔 细 观 察 ,就 会 发 现在 连接 运行 802.1d 的 交换 机 ( 即 所 有 的 那些 交换 机 ) 端 口上 ,802.1w 
交换 机 已 经 从 802.1w BPDU 变 为 802.1d BPDU。 

交换 机 S1 和 S2 认 为 , Core 交换 机 实际 上 也 在 运行 802.1d, 因为 Core 交换 机 向 它们 回复 的 BPDU 
也 只 是 802.1d 的 。 尽 管 交换 机 S1 和 S2 也 会 收 到 802.1w BPDU, 但 它们 并 不 理解 这 些 BPDU， 只 是 简 
单 地 将 这 些 数据 丢弃 。 然 而 ,Core 交换 机 也 接收 到 了 802.14 BPDU, 是 从 交换 机 S1 和 S2 那里 接收 的 ， 
这 样 我 们 就 知道 了 哪些 端口 在 运行 802.1d。 换 名 话说， 只 在 一 台 交 换 机 上 打开 802.1w, 根本 无 法 对 网 
络 形成 实质 性 的 帮助 ! 
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另 一 个 让 人 心烦 的 小 问题 是 , 一 旦 Core 交换 机 了 解 到 , 需要 向 连接 到 Sl 和 S2 的 端口 发 送 802.1d 
BPDU, 那么 即使 交换 机 S1 和 S2 后 来 又 配置 了 802.1w，Core 交换 机 也 不 能 自动 地 改变 它 的 配置 ， 这 
时 ， 我 们 就 需要 重新 启动 Core 交换 机 ， 以 便 让 它 停 止 发 送 802.1d BPDU。 

11. EtherChannel 

配置 EtherChannel 的 最 为 简单 的 方式 就 是 使 用 思科 网 络 助 手 ( CNA )。 搜 索 思科 的 网 站 ， 就 可 以 
免费 下 载 这 个 GUI 软件 。 然 而 ， 我 准备 使 用 CLI 来 进行 配置 ， 因 为 你 需要 了 解 这 些 CLI 命 令 ， 此 外 ， 
我 本 身 就 是 一 个 CLI 迷 ， 特 别 是 对 小 型 网 络 的 配置 。 

记 住 ， 有 两 个 版 本 的 EtherChannel 协商 协议 ， 思 科 版 本 和 IEEE 版 本 。 我 准备 使 用 思科 版 本 ， 并 
将 S1 交换 机 和 Core 交换 机 之 间 的 链 路 捆绑 在 一 起 。 

在 Sl 和 Core 交换 机 上 ， 使 用 interface port-channel 全 局 命令 、channe1-group 命令 和 
channe1-protoco] 接口 命令 。 下 面 是 使 用 这 些 命令 的 配置 过 程 : 

Sl#config t 

Si(config)#int port-channel 1 

Sil(config-if)#int range f0/1-2 

S1Cconfig-if-range)#switchport mode trunk 

1d03h: %SPANTREE_FAST-7-PORT_FWD_UPLINK: VLANOO01L FastEthernet0/2 

moved to Forwarding (UplinkFast). 

Si(config-if-range)#switchport nonegotiate 

SiCconfig-if-range)#channel-group 1 mode desirable 

Sl(config-if-range)#do sh int fa0/1 etherchanne1 


Port state = Up Sngl-port-Bnd] Mstr Not-in-Bnd] 

Channel group = 1 Mode = Desirable-S] Gcchange = 0 
Port-channel = null GC = 0x00010001 Pseudo port-channel = Pol 
Port index =0 Load = 0x00 Protocol = PAgP 


[output cut] 


Core#config 七 

Core(config)#int port-channel 1 

Core(config-if)#int range f0/7-8 

Core(config-if-range)#switchport trunk encap dotlq 

Core(config-if-range)#switchport mode trunk 

1d03h : %SPANTREE_FAST-7-PORT_FWD_UPLINK: VLAN0001 FastEthernet0/2 
moved to Forwarding (UplinkFast). 

Core(config-if-range)#switchport nonegotiate 

Core(config-if-range)#channel-group 1 wmode desirable 

ld04h: %SPANTREE_FAST-7-PORT_FWD UPLINK: VLANOO01 FastEthernet0/2 
moved to Forwarding (UplinkFast). 

1d04h: %SPANTREE_FAST-7-PORT_FWD_ UPLINK: VLANQOO1 FastEthernet0/2 
moved to Forwarding (UplinkFast). 

1d04h: %LINK-3-UPDOWN: Interface Port-channe11，changed state to up 


10.4 配置 Catalyst 交换 机 415 


1d04h: %LINEPROTO-5-UPDOWN: Line protocol on Interface 
Port-channe11，changed state to up 
Core(config-if-range)#do show int port-channel 1 
Port-channell is up, line protocol is up (connected) 
Hardware is EtherChannel, address is 001b.2b55.7501 (bia 001b.2b55.7501) 
MTU 1500 bytes, BW 200000 Kbit, DLY 100 usec, 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation ARPA, loopback not set 
Full-duplex, 100Mb/s, link type is auto, media type is unknown 
[output cut] 


我 添加 了 switchport nonegotiate 接口 命令 ， 以 阻止 交换 机 自动 检测 链 路 类 型 ， 以 及 自动 建 
立 中 继 ; 此 外 ， 我 还 静态 地 配置 了 中 继 链 路 。 位 于 S1 和 Core 交换 机 之 间 的 两 条 链 路 目前 被 捆 在 了 一 
起 ， 这 里 所 使 用 的 是 思科 EtherChannel 版 本 的 PAgP。 

下 面 , 我 们 还 需要 对 交换 机 的 配置 进行 验证 ， 此 外 ,开始 下 一 章 的 VLAN 学 习 之 前 , 还 需要 讨论 
一 下 根 桥 的 设置 。 


10.4.2 ”验证 思科 Catalyst 交换 机 的 配置 


无 论 是 路 由 器 还 是 交换 机 ， 我 喜欢 做 的 第 一 件 事 就 是 用 show running-config 命令 查看 一 下 配 
置 文件 。 为 什么 要 这 样 呢 ? 因为 这 样 做 可 以 让 我 真实 地 了 解 每 台 设 备 的 大 致 情况 。 但 是 ， 查 看 配置 文 
件 是 很 耗 时 的 工作 ,而且 要 显示 所 有 的 配置 也 会 占用 本 书 大 量 篇 幅 。 再 说 ,使 用 其 他 的 命令 ,也 可 以 
获得 非常 有 用 的 信息 。 . 

例如 ， 要 对 交换 机 上 设置 的 人 P 地 址 进行 验证 ， 就 可 以 使 用 show interface 命令 。 下 面 就 是 使 
用 这 一 命令 的 输出 : 

Sl#sh int vlan 1 

Vlanl is up, line protocol js up 

Hardware is EtherSVI, address is 001b.2b55.7540 (bia 001b.2b55.7540) 
Internet address is 192.168.10.17/28 
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation ARPA, loopback not set, reliability 255/255, 
txload 1/255, rxload 1/255 
[output cut] 


记 住 ,交换 机 运行 并 非 必 须要 有 IP 地 址 。 在 交换 机 上 配置 IP 地 址 、 掩 码 和 默 
注意 ” 认 网 关 的 唯一 理由 就 是 满足 管理 上 的 需要 。 
1. sh mac address-table 


你 一 定 还 记得 本 章 前 面 的 内 容 曾 使 用 过 这 个 命令 吧 ? 这 条 命令 可 以 用 来 显示 转发 过 滤 表 ， 即 所 请 
的 内 容 可 寻 址 内 存 (CAM ) 表 。 下 面 就 是 交换 机 S1 执行 这 个 命令 得 到 的 输出 : 
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S1#sh mac address-tab1e 
Mac Address Table 


Van Mac Address Type Ports 
A11 0100.0ccc.cccC STATIC CPU 
All ffff.ffff.ffff STATIC CPU 


[output cut] 
1 0002 .1762.b235 DYNAMIC Pol 


0009.b79f.c080 DYNAMIC Pol 
000d.29bd.4b87 DYNAMIC Pol 


000d.29bd.4b88 DYNAMIC Pol 
0016.4662 .52b4 DYNAMIC Fa0/4 
0016.4677. 5eab DYNAMIC Pol 
001a.2f52.49d8 DYNAMIC Pol 
001a.2fe7.4170 DYNAMIC Fa0/8 
001ia.e2ce.ff40 DYNAMIC Pol 
1 0050.0f02.642a DYNAMIC Fa0/3 

Total Mac Addresses for this criterion: 31 

S1# 

交换 机 使 用 分 配给 CPU 的 基本 MAC 地 址 ，2960 交换 机 使 用 的 是 20。 从 上 面 的 输出 中 可 以 看 出 ， 
这 里 有 7 个 MAC 地 址 被 动态 地 分 配给 了 EtherChannel 的 端口 1。 端 口 Fa0/3、Fa0/8 和 Fa0/4 都 只 有 一 
个 MAC 地址 ， 所 有 的 端口 都 指派 给 了 VLAN 1。 : 

下 面 来 看 一 下 交换 机 S2 中 的 CAM， 看 可 以 从 中 发 现 些 什 么 。 请 注意 ， 交 换 机 S2 并 没有 像 交 换 
机 S1 那样 配置 EtherChannel， 因 此 ，STP 会 关闭 一 条 通 往 Core 交换 机 的 元 余 链 路 : 

S2#sh mac address-table 
Mac Address Table 


六 上 FF 


Vlan Mac Address Type Ports 
A1l 0008.205a.85c0 STATIC CPU 
A1l 0100.0ccc.cccc STATIC CPU 
All 0100.0ccc.cccd STATIC CPU 
Al11 0100.0cdd.dddd STATIC CPU 


[output cut] 
1 0002 .1762 .b235 DYNAMIC Fa0/3 
1 000d.29bd.4b80 DYNAMIC Fa0/I 
1 000d.29bd.4b85 DYNAMIC Fa0/1 
1 0016.4662 .52b4 DYNAMIC Fa0/1 
由 0016.4677.5eab DYNAMIC Fa0/4 
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1 001b.2b55.7540 DYNAMIC Fa0/1 
Total Mac Addresses for this criterion:; 26 
S2# 


从 以 上 输出 可 以 看 出 , 有 4 个 MAC 地 址 被 分 配给 了 Fa0/1。 当 然 , 还 可 以 看 出 ,在 端口 3 和 端口 
4 上 针对 每 个 主机 都 有 一 个 连接 与 不 同 的 主机 相连 。 那 么 怎么 没有 端口 2? 由 于 端口 2 连接 的 是 一 条 
元 余 链 路 ，STP 将 Fa0/2 设置 为 了 阻塞 模式 。 我 们 下 面 马 上 还 会 讨论 到 这 一 点 。 

@ 指定 静态 的 MAC 地址 

在 MAC 地 址 表 中 可 以 设置 静态 MAC 地 址 , 但 就 像 设 置 静态 MAC 端口 安全 一 样 , 这 是 一 件 十 分 
费力 耗 时 的 工作 。 当 然 你 也 可 以 尝试 一 下 ， 下 面 就 是 设置 方法 : 

Si#config t 

Sl(Cconfig)#mac-address-table static aaaa.bbbb.cccc vlan 1 int fa0/5 

Sl(Cconfig)#do show mac address-table 

| Mac Address Table 


Al]11 0100.0ccc.cccc STATIC CPU 
[output cut] 
1 0002 .1762 .b235 DYNAMIC Pol 


1 0009.b79f.c080 DYNAMIC Pol 

1 000d.29bd.4b87 DYNAMIC Pol 

1 000d.29bd ,4b88 DYNAMIC Pol 

1 0016.4662.52b4 DYNAMIC Fa0/4 

1 0016.4677.5eab DYNAMIC Po1 

1 001a.2f52.49d8 DYNAMIC Pol 

1 001a.2fe7.4170 DYNAMIC Fa0/8 

1 001a.e2ce.ff40 DYNAMIC Pol 

1 0050.0f02.642a DYNAMIC Fa0/3 

1 aaaa.bbbb.cccc STATIC Fa0/5 
Total Mac Addresses for this criterion: 31 
Sl(config)# 


可 以 看 出 ， 我 们 为 接口 Fa0/5 永久 地 分 配 了 一 个 静态 MAC 地 址 ， 输 出 左 侧 显示 ， 它 同时 被 指定 
给 了 VLAN 1。 

2. sh spanning-tree 

到 目前 为 止 大 家 都 已 经 知道 ， sh spanning-tree 是 一 个 很 重要 的 命令 。 借 助 这 个 命令 ,可 以 看 
出 谁 是 根 桥 ， 以 及 每 个 VLAN 所 设置 的 优先 级 。 

要 知道 , 默认 情况 下 思科 交换 机 上 运行 的 是 所 谓 的 每 VLAN 生成 树 (PVST ), 也 就 是 说 , 每 个 VLAN 
都 会 运行 各 自 的 STP 协议 实例 。 如 果 我 们 使 用 sh spanning-tree 命令 ， 就 会 收 到 从 VLAN 1 开始 的 
所 有 VLAN 的 信息 。 因 此 ， 如 果 我 们 有 了 多 个 VLAN， 并且 又 只 想 查 看 VLAN 2 中 的 情况 ,这 时 , 可 
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以 使 用 命令 show spanning-tree vlan 2。 


以 下 是 在 交换 机 S1 上 执行 命令 show spanning-tree 之 后 得 到 的 输出 。 由 于 这 里 只 使 用 了 VLAN 1， 
因而 不 需要 在 命令 中 添加 VLAN 号 : 


S1#sh spanning-tree 
VLAN0001 


Spanning tree enabled protocol ieee 


Root ID Priority 
Address 
Cost 
Port 
Hello Time 


Bridge ID Priority 
Address 
Hello Time 


Aging Time 15 


Uplinkfast enabled 


32769 
000d.29bd.4b80 
3012 
56 (Port-channe11) 
2 sec Max Age 20 sec Forward Delay 15 sec 


49153 (priority 49152 sys-id-ext 1) 
001b.2b55.7500 
2 sec Max Age 20 sec Forward Delay 15 sec 


Interface Role Sts Cost Prio.Nbr Type 
Fa0/3 Desg FWD 3100 128.3 Edge Shr 
Fa0/4 Desg FWD 3019 128.4 Edge P2p 
Fa0/8 Desg FWD 3019 128.8 P2p 
Pol Root FWD 3012 128.56 P2p 


由 于 这 里 只 配置 了 VLAN 1， 这 个 命令 就 没有 其 他 输出 了 ， 如 果 这 里 设置 了 多 个 VLAN， 可 以 得 
到 关于 每 个 VLAN 配置 的 信息 。 默 认 优先 级 是 32 768, 但 还 有 某 些 被 称 为 系统 ID 扩展 ( sys-id-ext ) 
的 内 容 ， 其 实 就 是 VLAN 标识 符 。 桥 ID 的 优先 级 随 VLAN 号 递增 。 由 于 只 有 VLAN 1， 增加 1 就 
是 32769。 但 要 知道 ,默认 情况 下 ，BackboneFast 会 将 默认 优先 级 提高 到 49 132， 以 防止 该 桥 被 选举 为 


根 桥 。 
输出 的 最 上 面 指出 了 根 桥 : 
VLANOOO1 
Root ID Priority 

Address 
Cost 
Port 
Hello Time 


32769 

000d.29bd.4b80 

3012 

56 (Port-channel1) 

2 sec Max Age 20 sec Forward Delay 15 sec 


EtherChannel 端口 1 是 这 里 的 根 端口 ,这 表明 它 是 我 们 选择 的 通 往 根 桥 的 路 径 , 它 的 标识 符 为 000d. 
29bd.4b80。 可 见 ， 根 桥 只 能 是 Core 交换 机 或 S2， 我 们 马上 就 会 发 现 到 底 谁 是 。 

此 命令 输出 的 最 后 一 项 表明 ， 这 些 端口 上 正在 运行 STP， 而 且 各 有 一 条 通 往 其 他 设备 的 连接 。 
为 这 里 运行 了 EtherChannel， 所 以 没有 被 阻塞 的 端口 。 确 定 桥 是 否 为 非 根 桥 ， 有 一 种 办 法 就 是 ， 查 看 
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它们 是 否 有 Altn BLK 端口 ( 即 被 阻塞 的 候选 端口 )。 根 桥 上 不 可 能 有 被 阻塞 的 端口 ， 而 S1 上 的 所 有 
端口 都 显示 为 转发 (FWD ) 状态 ， 则 是 因为 我 们 配置 了 EtherChannel。 

@ 确定 根 桥 

要 确定 这 里 的 根 桥 ， 显 然 需要 使 用 sh spanning-tree 命令 。 我 们 来 看 一 下 其 他 两 台 交 换 机 的 情 
况 ， 判断 一 下 其 中 哪 台 交换 机 是 默认 根 桥 。 这 里 要 特别 注意 ， 桥 ID MAC 地 址 以 及 S1 交换 机 的 优先 
级 。 下 面 是 S2 的 输出 : 


S2#sh spanning-tree 


VLAN0001 
Spanning tree enabled protocol ieee 
Root ID Priority 32769- 
Address 000d.29bd.4b80 
Cost 3019 
Port 2 (FastEthernet0/1) 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 49153 (priority 49152 sys-id-ext 1) 
Address 001a.e2ce.ffo0 
‘ Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 
Uplinkfast enabled 


Interface Role Sts Cost Prio.Nbr Type 
Fa0/1 Root FWD 3019 128 .2 P2p 
Fa0/2 Altn BLK 3019 128.3 P2p 
Fa0/3 Desg FWD 3100 128.4 Edge Shr 
Fa0/4 Desg FWD 3019 128.5 Edge P2p 
S2# 


可 以 看 出 ,端口 Fa0/2 是 被 阻塞 的 ， 因 此 这 个 交换 机 不 可 能 是 根 桥 。 根 桥 上 不 会 有 被 阻塞 的 端口 。 
再 强调 一 遍 ， 一 定 要 对 输出 头 部 的 桥 ID MAC 地 址 和 优先 级 给 予 特别 的 注意 。 下 面 就 是 来 自 Core 交 
换 机 的 输出 : 
Core#sh spanning-tree 
VLANOOO1 
Spanning tree enabled protocol rstp 
Root ID Priority 32769 


Address 000d.29bd.4b80 
This bridge is the root 


Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) 
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Address 000d .29bd.4b80 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 


Interface Role Sts Cost Prio.Nbr Type 

Fa0/5 Desg FWD 19 128.5 P2p Peer(STP) 
Fa0/6 Desg FWD 19 128.6 P2p Peer(CSTP) 
Pol Desg FWD 12 128.66  P2p Peer(STP) 


到 这 里 有 最 终 答 案 了 ， 输 出 头 部 给 出 了 “This bridge is the root”( 这 个 桥 就 是 根 桥 )。 

但 应 该 思考 一 下 ， 为 什么 Core 交换 机 的 默认 优先 级 为 32 768， 而 其 他 交换 机 则 为 49 152? 这 是 因 
为 它 运行 的 STP 为 802.1w 版 本 ， 而 默认 情况 下 其 BackboneFast 是 禁用 的 。 

下 面 来 对 比 一 下 每 台 交换 机 的 桥 MAC 地 址 : 

口 S1 的 地 址 : 001b.2b55.7500; 

口 S2 的 地 址 : 001a.e2ce.ff00; 

口 Core 的 地 址 : 000d.29bd.4b80。 

如 果 所 有 交换 机 都 设置 为 默认 优先 级 ， 那 么 通过 比较 这 些 MAC 地 址 ， 你 认为 哪 台 交 换 机 会 是 根 
交换 机 ? MAC 地 址 需要 从 左边 开始 ， 然 后 逐步 向 右 读 。 显 然 Core 具有 最 小 的 MAC 地 址 ， 通 过 查看 
sh spanning-tree 命令 的 输出 ,Core 确实 是 这 里 的 根 桥 ( 即使 所 有 交换 机 的 优先 级 相同 结果 也 一 样 )。 
通过 比较 交换 机 的 MAC 地 址 ， 快 速 推算 出 潜在 的 根 桥 ， 这 是 个 不 错 的 做 法 。 

@ 设置 根 桥 

默认 情况 下 ， 将 Core 交换 机 作为 这 里 的 根 桥 很 方便 ， 因 为 这 也 恰好 是 我 通常 会 选择 的 做 法 。 但 
是 出 于 练习 的 需要 ， 我 们 来 将 这 一 设置 修改 一 下 。 下 面 就 是 修改 配置 : 

Sl#config t 

Si(config)#spanning-tree vlan 1 priority ? 

<0-61440> bridge priority in increments of 4096 

Si(config)#spanning-tree vlan 1 priority 16384 

Si(config)#do show spanning-tree 

VLAN0001 

Spanning tree enabled protocol ieee 

Root ID Priority 16385 
Address 001b.2b55.7500 
This bridge is the root 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 


Bridge ID Priority 16385 (priority 16384 sys-id-ext 1) 
Address 001b.2b55.7500 
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
Aging Time 300 
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Interface Role Sts Cost Prio.Nbr Type 
Fa0/3 Desg FWD 100 128.3 Edge Shr 
Fa0/4 Desg FWD 19 128.4 Edge P2p 
Fa0/8 Desg FWD 19 128.8 P22p 
Pol Desg FWD 12 128.56 P2p 


当 你 将 S1 的 优先 级 降低 为 16 384 时 ，S1 就 会 立刻 变 成 这 里 的 根 桥 。 可 以 将 优先 级 设置 为 人 0 到 
61 440 中 的 任 一 值 。 其 中 ,0 意味 着 这 一 交换 机 始终 是 根 桥 ( 除非 其 他 交换 机 的 优先 级 也 被 设置 为 0 并 
且 磁 巧 它 还 拥有 更 低 的 MAC 地 址 )， 而 61 440 则 意味 着 这 台 交 换 机 永远 不 可 能 成 为 根 桥 。 
还 有 一 个 命令 是 你 应 该 知道 的 ， 如 果 你 想 跳 过 所 有 与 根 桥 相关 的 验证 和 配置 一 一 但 是 ， 等 等 ， 如 
果 你 真 想 通过 思科 的 考试 ， 人 这 个 命令 很 简单 ， 在 某 台 交换 机 上 运行 该 命 
令 后 ， 这 人 台 交 换 机 将 被 设置 为 根 桥 : 
S1Cconfig)#spanning-tree vlan 1 root ? 
primary Configure this switch as primary root for this spanning tree 
secondary Configure switch as secondary root 
Sil(config)#spanning-tree vlan 1 root primary 
我 应 该 提醒 过 你 了 吧 , 必须 要 为 每 个 VLAN 进行 这 样 的 配置 , 而 且 还 可 以 为 根 交 换 机 设置 主 交换 
机 和 辅助 交换 机 ? 是 的 ， 这 些 都 是 可 以 的 ， 可见， 这 上 比 起 本 章 前 面 介 绍 的 配置 过 程 要 容易 得 多 ! 但 最 
重要 的 是 , 是 CCNA 备考 指南 一 一 你 当然 希望 通过 这 个 考试 了 ! 因此 ,尽管 前 面 进行 的 配置 过 程 完成 
起 来 很 困难 ， 但 我 们 一 定 要 掌握 这 些 操作 。 
应 该 承认 ， 这 一 章 的 确 包含 了 很 多 内 容 ， 而 你 也 确实 学 到 了 很 多 ,也许 ,一 路 走 来 你 乐 在 其 中 。 
到 目前 为 止 , 你 已 经 配置 并 验证 了 所 有 的 交换 机 ， 并 设置 了 端口 安全 , 还 了 解 了 STP 扩展 功能 ,同时 
完成 了 根 桥 的 设置 。 所 有 这 些 都 表明 ， 你 可 以 对 虚拟 局 域 网 展开 学 习 了 。 在 这 里 ， 对 所 有 交换 机 的 配 
置 进行 保存 ， 我 们 就 可 以 从 此 处 展开 对 第 11 章 的 讨论 了 。 


10.5 小结 


本 章 , 我 介绍 了 交换 机 和 网 桥 间 的 不 同 , 并 讨论 了 二 者 在 第 2 层 的 工作 方式 , 以 及 如 何 创建 MAC 
地 址 转发 /过 滤 表 来 对 数据 帧 作出 转发 或 泛 洪 决策 。 

本 章 还 讨论 了 网 桥 ( 交换 机 ) 之 间 存 在 多 条 链 路 时 会 出 现 的 问题 , 以 及 如 何 使 用 生成 树 协议 ( STP ) 
来 解决 这 些 问 题 。 

最 后 , 我 们 学 习 了 思科 Catalyst 交换 机 的 详细 配置 , 其 中 包括 配置 的 验证 、 思 科 STP 扩展 的 设置 ， 
以 及 通过 设置 桥 的 优先 级 来 修改 选 定 的 根 桥 。 


10.6 ”考试 要 点 


记 住 3 种 交换 功能 。 地 址 学 习 、 转 发 /过 滤 决 策 和 环 路 避免 是 一 个 交换 机 要 具备 的 3 种 功能 。 
记 住 命令 sh mac address-table。 命 令 sh mac address-table 将 显示 局 域 网 交换 机 上 使 用 的 
转发 /过 滤 表 。 
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理解 生成 树 协 议 在 交换 式 局 域 网 中 的 主要 用 途 。STP 的 主要 用 途 是 防止 带 有 宛 余 交换 路 径 的 网 络 
中 产生 交换 环 路 。 

记 住 STP 的 状态 。 阻 塞 状态 用 于 防止 使 用 有 环 路 的 路 径 。 处 于 侦 听 状态 的 端口 在 没有 形成 MAC 
地 址 表 时 就 准备 转发 数据 帧 了 。 处 于 学 习 状 态 的 端口 会 形成 MAC 地 址 表 ， 但 不 能 转发 数据 帧 。 处 于 
转发 状态 的 端口 在 此 桥接 的 端口 上 发 送 并 接收 所 有 数据 帧 。 最 后 ， 处 于 禁用 状态 的 端口 实质 上 是 不 工 
作 的 。 

记 住 命令 sh spanning-tree。 必 须 熟 悉 命令 sh spanning-tree， 并 熟悉 如 何 确定 哪 台 交 换 机 
是 根 桥 。 
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请 回答 下 述 问 题 。 

(1) 哪个 命令 可 以 显示 转发 /过 滤 表 ? 

(2) 如 果 目 的 MAC 地 址 不 在 转发 /过 滤 表 中 ， 交 换 机 将 如 何 处 理 这 个 帧 ? 

(3) 第 2 层 交 换 有 哪 3 种 功能 ? 

(4) 如 果 交 换 机 端口 收 到 一 个 帧 而 其 源 MAC 地 址 并 不 在 转发 /过 滤 表 中 ， 交 换 机 会 如 何 处 理 ? 

(5) 如 果 交 换 机 端口 接收 到 一 个 BPDU， 那 么 哪个 思科 专属 的 STP 扩展 会 将 此 端口 设置 为 错误 禁 
用 状态 ? 

(6) 802.1w 又 被 称 为 什么 ? 

(7) 什么 情况 下 STP 被 认为 是 会 聚 的 ? 

(8) 交换 机 能 够 分 隔 __” 域 。 

(9) 在 带 有 宛 余 交换 路 径 的 网 络 中 ， 采 用 什么 方式 可 以 防止 交换 环 路 的 出 现 ? 

(10) 哪 一 种 思科 802.1d 扩展 能 够 阻止 BPDU 从 一 个 端口 发 送出 去 ? 

(该 书面 实验 的 答案 见 本 章 复习 题 答 案 的 后 面 。 ) 


10.8 复习 题 


下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
注意 ”信息 ， 请 参阅 本 书 的 前 言 。 


(1) 下 列 哪 个 第 2 层 协议 用 于 维护 无 环 路 网 络 ? 


A.VTP B. STP C. RIP D. CDP 
(2) 下 面 哪个 命令 可 以 显示 转发 /过 滤 表 ? 

A. show mac filter B. show run 

C. show mac address-table D. show mac filter-table 


(3) 以 下 哪 两 项 是 使 用 网 桥 ( 交换 机 ) 分 段 网 络 的 结果 ? 
A. 增加 冲突 域 的 数量 ”B. 减少 冲突 域 的 数量 ”CC. 增加 广播 域 的 数量 
D. 减少 广播 域 的 数量 ”BE. 缩小 冲突 域 F. 加 大 冲突 域 

(4) 下 面 的 哪 项 陈述 表明 生成 树 网 络 已 经 会 聚 ? 
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A. 所 有 的 交换 机 和 网 桥 端 口 均 处 于 转发 状态 
B. 所 有 的 交换 机 和 网 桥 端口 均 被 分 配 为 根 或 者 指定 端口 
C. 所 有 的 交换 机 和 网 桥 端 口 均 处 于 转发 或 阻塞 状态 
D. 所 有 的 交换 机 和 网 桥 端口 均 处 于 阻塞 或 环 回 状 态 
(5) 在 交换 式 局 域 网 中 使 用 生成 树 协议 的 目的 是 什么 ? 
A. 在 交换 环境 中 为 网 络 监控 提供 一 种 机 制 
B. 在 带 有 元 余 路 径 的 网 络 中 阻止 路 由 选择 回路 的 出 现 
C. 在 带 有 元 余 交 换 路 径 的 网 络 中 阻止 路 由 选择 回路 的 出 现 
D. 通过 多 个 交换 机 管理 VLAN 数据 库 


E. 创建 冲突 域 
(6) 第 2 层 交 换 可 增加 网 络 带 宽 的 3 个 独立 的 功能 是 什么 ? 
A. 地 址 学 习 B. 路 由 选择 C. 转发 与 过 滤 D. 创建 网 络 回路 
E. 回路 避免 F. IP 寻 址 
(7) 交换 机 上 的 某 个 端口 状态 的 LED 在 绿色 和 黄色 间 交 替 闪 烁 。 这 表明 什么 ? 
A. 端口 处 于 出 错 状态 B. 端口 将 要 关闭 
C. 端口 处 于 STP 阻塞 模式 D. 没有 什么 问题 ， 这 是 正常 的 
(8) 以 下 哪 种 说 法 是 正确 的 ? 


A. 交换 机 可 以 创建 单一 的 冲突 域 和 单一 的 广播 域 ， 路 由 器 可 以 创建 单一 的 冲突 域 
B. 交换 机 可 以 创建 独立 的 冲突 域 ， 但 在 一 个 广播 域 中 ; 路 由 器 可 以 提供 独立 的 广播 域 
C. 交换 机 可 以 创建 单一 的 冲突 域 和 独立 的 广播 域 ; 路 由 器 也 可 以 提供 独立 的 广播 域 
D. 交换 机 可 以 创建 独立 的 冲突 域 和 独立 的 广播 域 ; 路 由 器 可 以 提供 独立 的 冲突 域 
(9) 要 对 某 个 Catalyst 交换 机 进行 配置 ， 以 便 进 行 远程 管理 。 下 列 哪 个 命令 可 以 完成 这 项 任务 ? 
A. SwitchCconfig)#int fa0/1 
Switch(config-if)#ip address 192.168.10.252 255.255.255.0 
Switch(config-if)#no shut 
B. SwitchCconfig)#int vlan 1 
Switch(config-if)#ip address 192.168.10.252 255.255.255.0 
Switch(config-if)#ip default-gateway 192.168.10.254 255.255.255.0 
C. Switch(Cconfig)#ip default-gateway 192.168.10.254 
SwitchCconfig)#int vilan 1 
Switch(config-if)#ip address 192.168.10.252 255.255.255.0 
Switch(config-if)#no shut 
D. Switch(config)#ip default-network 192.168.10.254 
Switch(config)#int vlan 1 
Switch(Cconfig-if)#ip address 192.168.10.252 255.255.255.0 
SwitchCconfig-jf)#no shut : 
(10) 当 交 换 机 的 某 个 接口 接收 到 一 个 目的 方 硬件 地 址 未 知 或 过 滤 表 中 不 存在 的 地 址 的 数据 帧 时 ， 它 会 
如 何 处 理 ? 
A. 转发 给 交换 机 上 的 第 一 个 可 用 链 路 B. 丢弃 此 数据 帧 
C. 将 此 数据 帧 泛 洪 到 此 网 络 以 查找 目标 设备 。 D. 向 源 站 点 回 送 一 条 请 求 名 字 解 析 的 消息 
(11) 如 果 某 台 交换 机 接收 到 一 个 帧 ， 其 源 MAC 地 址 不 在 MAC 地 址 表 而 目的 地 址 在 MAC 地 址 表 中 ， 
此 交换 机 会 如 何 处 理 这 个 帧 ? 
A. 丢弃 它 并 向 源 主机 回 送 一 个 出 错 消息 
B. 将 此 帧 泛 洪 到 这 个 网 络 
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C. 将 此 源 地 址 和 端口 加 入 MAC 地 址 表 并 将 此 帧 转发 出 目的 端口 
D. 将 目的 地 址 加 入 MAC 地 址 表 中 ， 然 后 再 转发 此 帧 
(12) 想 在 交换 机 上 运行 新 的 802.1w 协议 ,下 面 的 哪个 命令 可 以 启用 这 个 协议 ? 
A. Switch(config)#spanning-tree mode rapid-pvst 
B. Switch#spanning-tree mode rapid-pvst 
C. Switch(config)#spanning-tree mode 802.1w 
D. Switch#spanning-tree mode 802.1w 


(13) 在 交换 式 局 域 网 中 ， 下 面 哪 种 情况 会 导致 对 传输 中 的 单 播 数据 帧 进行 多 帧 复制 ? 


A. 在 高 流量 传输 阶 B. 在 断 开 链 路 重新 建立 之 后 
C. 当 上 层 协议 需要 高 可 靠 性 时 D. 在 不 正确 的 元 余 拓扑 实现 中 
(14) 哪个 命令 可 以 产生 下 列 输出 : 
Vian Mac Address Type Ports 
1 0005 .dccb.d74b DYNAMIC Fa0/1 
1 000a.f467.9e80 DYNAMIC Fa0/3 
1 000a.f467 .9e8b DYNAMIC Fa0/4 
1 000a.f467.9e8c DYNAMIC Fa0/3 
1 0010.7b7f.c2b0 DYNAMIC Fa0/3 
1 0030.80dc.460b DYNAMIC Fa0/3 
A. show vlan B. show ip route 
C. show mac address-table D. show mac address-filter 
(15) 如 果 你 想 在 一 个 连接 到 服务 器 的 端口 上 禁用 STP， 可 以 使 用 哪个 命令 ? 
A.disable spanning-tree B. spanning-tree off 
C. spanning-tree security D, spanning-tree portfast 


(16) 参照 下 图 。 为 什么 在 此 交换 机 的 地 址 表 中 有 两 个 地 址 分 配给 了 FastEthernet 0/1 端口 ? 


ER 寻 


名 名 国 国 
Es es) EE 
HostA HostB HostC HosD 
MAC 地 址 类 型 端口 
0005.decb.d74b DYNAMIC FaO/l 
000a.f467.9e80 DYNAMIC FaO/l 
000a.f467.9e8b DYNAMIC Fa0M 
000a.f467.9e8c DYNAMIC Fa0B 


A. 来 自 HostC 和 HostD 的 数据 由 此 交换 机 的 FastEthernet 0/1 端口 接收 
B. 与 此 交换 机 相连 的 两 设备 的 数据 都 被 转发 给 HostD 

C. HostC 和 HostD 已 经 将 它们 的 NIC 进行 了 互 换 

D. HostC 和 HostD 在 不 同 的 VLAN 上 
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(17) 第 2 层 交 换 提 供 了 下 面 哪 4 项 功能 ? 
A. 基于 硬件 的 桥接 ( ASIC ) B. 线 速 C. 低 延 迟 
D. 低 开 销 E. 路 由 选择 F. WAN 服务 

(18) 你 输入 了 show mac address-table 命令 ,并 得 到 如 下 输出 : 


Switch#sh mac address-table 


Vian Mac Address Type Ports 
I 0005 .dccb ,d74b DYNAMIC Fa0/1 
1 000a.f467 .9e80 DYNAMIC Fa0/3 
1 000a.f467.9e8b DYNAMIC Fa0/4 
1 000a.f467.9e8c DYNAMIC Fa0/3 
1 0010.7b7f.c2b0 DYNAMIC Fa0/3 
1 0030.80dc .460b DYNAMIC Fa0/3 


假设 上 面 这 个 交换 机 接收 到 一 个 带 有 下 列 MAC 地 址 的 数据 帧 : 
口 源 MAC: 0005.dccb.d74b 
口 目的 地 MAC: 000a.f467.9e8c 


它 会 如 何 处 理 这 个 帧 ? 
A. 丢弃 这 个 帧 B. 只 从 Fa0/3 端口 转发 出 这 个 帧 
C. 只 从 Fa0/1 端口 转发 出 这 个 帧 D. 从 除 Fa0/1 端口 的 所 有 端口 转发 出 这 个 帧 


(19) 你 需要 建立 在 交换 机 的 每 个 端口 上 只 允许 一 台 主 机 的 动态 连接 策略 。 要 在 Catalyst 交换 机 上 实现 这 
个 策略 ， 哪 两 个 命令 是 必须 要 配置 的 ? 
A. SwitchCconfig-if)#ip access-group 10 
B.Switch(config-if)#switchport port-security maximum 1 
C.SwitchC(config)#access-l1ist 10 permit ip host 1 
D. Switch(Cconfig-if)#switchport port-security violation shutdown 区 
E. Switch(config)#mac-address-table secure 


(20) 为 了 实现 元 余 ， 你 将 两 台 交 换 机 使 用 两 条 交叉 电缆 连接 到 了 一 起 ， 并 且 禁 用 了 STP。 在 这 两 台 交 
换 机 之 间 将 会 发 生 下 列 哪 种 情况 ? 
A. 交换 机 上 的 路 由 选择 表 不 再 更 新 B. 交换 机 上 的 MAC 转发 /过 滤 表 不 再 更 新 
C. 在 此 交换 网 络 上 将 出 现 广播 风暴 D. 交换 机 将 在 两 条 链 路 间 进 行 自 动 负载 均衡 
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(1) B。STP 用 于 防止 带 有 宛 余 路 径 的 交换 式 网 络 中 出 现 交 换 环 路 。 

(2) C。 命 令 show mac address-table 用 来 显示 交换 机 上 的 转发 /过 滤 表 。 

(3) A、E。 网 桥 分 隔 冲 突 域 ， 从 而 增加 了 网 络 中 的 冲突 域 数 量 ， 同 时 使 冲突 域 更 小 。 

(4) C。 当 网 桥 或 交换 机 上 的 所 有 端口 都 转换 为 转发 或 阻塞 状态 时 ， 就 产生 了 会 聚 。 在 会 聚 完成 之 前 ， 
交换 机 不 能 转发 任何 数据 。 在 重新 转发 数据 之 前 ， 所 有 设备 都 必须 更 新 。 

(5) C。 生 成 树 协 议 ( STP ) 用 于 阻止 第 2 层 上 的 网 络 环 路 。 默 认 情 况 下 ， 所 有 思科 交换 机 上 都 会 打开 
STP。 


(9A、C、E。 第 2 层 特 性 包括 地 址 学 习 、 网 络 转发 /过 滤 决 策 和 环 路 避免 。 
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(7) A。 当 连接 到 交换 机 端口 时 ， 链 路 灯 首 先是 橙色 或 黄色 ， 然 后 变 成 绿色 ， 表 示 操 作 正 常 。 如 果 链 路 
灯 在 闪烁 ， 就 说 明 有 问题 。 

(8) B。 交 换 机 分 隔 冲突 域 ， 而 路 由 器 分 隔 广播 域 。 

(9) C。 要 实现 远程 管理 交换 机 ， 就 必须 在 管理 VLAN 下 设置 耻 地 址 ， 默 认 情 况 下 ， 就 是 VLAN 1。 然 
后 ， 在 全 局 配置 模式 下 ， 用 命令 ip defau1t-gateway 设置 默认 网 关 。 选 项 C 启 用 了 这 个 管理 接口 ， 因 此 
相 比 选项 B 来 说 ， 它 更 准确 。 

(10) C。 交 换 机 对 所 有 不 知道 其 目的 地 址 的 帧 进行 泛 洪 。 如 果 某 台 设 备 应 答 了 此 帧 ， 交 换 机 就 更 新 其 
MAC 地 址 表 ， 显 示 设 备 的 位 置 。 

(11)C。 由 于 源 MAC 地 址 不 在 MAC 地 址 表 中 ， 交 换 机 将 在 MAC 地 址 表 中 添加 此 源 MAC 地 址 及 所 连 
接 的 端口 ， 然 后 将 帧 转发 到 输出 端口 。 

(12) A。802.1w 又 称 为 快速 生成 树 协议 。 思 科 交 换 机 默认 禁用 802.1W， 但 它 比 STP 好 一 些 ， 因 为 它 同 
样 拥有 思科 扩展 对 802.1d 的 修正 功能 。 

(13) D。 如 果 交 换 机 上 没有 运行 STP, 而 且 这 些 相互 连接 的 交换 机 之 间 存 在 元 余 链 路 ,就 会 产生 广播 风 
俊和 多 帧 复制 。 

(14) C。 在 交换 机 上 ， 命 令 show mac address-table 将 显示 转发 /过 滤 表 ， 即 所 谓 的 CAM 表 。 

(15) D。 如 果 有 一 台 服 务 器 或 其 他 设备 连接 到 交换 机 ， 而 你 完全 确信 在 禁用 STP 之 后 ， 不 会 产生 交换 
环 路 ， 就 可 以 在 这 些 端 口上 使 用 portfast。 使 用 portfast 意味 着 当 STP 会 聚 时 ， 端 口 不 会 再 占用 通常 需 
要 的 50 秒 。 

(16) A。 交 换 机 可 以 有 多 个 MAC 地 址 与 一 个 端口 相关 联 。 在 此 图 中 ， 端 口 Fa0/1 连接 有 一 个 集线器 ， 
因此 这 个 端口 上 连接 了 两 台 主 机 。 

(17) A、B、C、D。 交 换 机 是 基于 硬件 的 ， 这 跟 网 桥 不 同 。Cisco 声称 它 的 交换 机 具有 线 速 并 可 提供 低 
延迟 ， 而 我 猜 它们 低 的 只 是 与 20 世纪 90 年 代 比 较 的 价格 。 

(18) B。 由 于 目的 MAC 地址 在 MAC 地 址 表 〈 转 发 /过 滤 表 ) 中 ， 它 只 把 它 发 送出 端口 Fa0/3 。 

(19) B、D。 命 令 switchport port-security 是 一 条 很 重要 的 命令 ， 用 CNA 实现 它 则 非常 简单 。 然 
而 , 在 CLI 中 ,可 以 设置 允许 进入 端口 的 最 大 MAC 地 址 数 ， 然 后 ， 再 设置 超过 最 大 数 的 惩罚 措施 。 

(20) C。 如 果 在 交换 机 上 禁用 了 STP， 而 且 还 存在 到 其 他 交换 机 的 元 余 链 路 ， 就 会 产生 广播 风暴 和 其 他 
问题 。 


10.10 ”书面 实验 10 答案 


(1) show mac address-table 

(2) 将 帧 泛 洪 到 除了 接收 端口 之 外 的 所 有 端口 上 

(3) 地 址 学 习 、 过 滤 / 转 发 决策 以 及 环 路 避免 

(4) 它 将 在 转发 /过 滤 表 中 添加 源 MAC 地 址 ， 并 将 它 与 收 到 此 帧 的 端口 关联 起 来 
($5) BPDUGuard 

(6) 快速 生成 树 协 议 (RSTP ) 

(7) 当 所 有 的 端口 都 处 于 阻塞 或 转发 模式 时 

(8) 冲突 

(9) 生成 树 协议 (STP ) 

(10) PortFast 
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不 会 


本 章 涵 盖 如 下 CCNA 考试 要 点 。 

v 描述 网 络 的 工作 原理 

口 描述 应 用 程序 ( 卫 语 音 和 卫视 频 ) 对 网 络 的 影响 。 

v 配置 和 验证 VLAN 交换 机 和 交换 机 间 通 信 ， 并 排除 其 故障 

口 使 用 基本 工具 (包括 Ping、traceroute、Telnet、SSH、arp 、ipconfig ) 以 及 SHOW 命令 和 DEBUG 
命令 查看 网 络 状态 和 交换 机 的 运行 情况 ; 

口 找 出 常见 的 交换 型 网 络 介质 问题 、 配 置 问题 、 自 动 协商 问题 和 交换 机 硬件 故障 ， 描述 这 些 间 
题 并 找 出 解决 方案 ; 

口 描述 增强 型 交换 技术 , 包括 VITP、RSTP、VLAN、PVSTP 和 802.1q; 

口 描述 VLAN 如 何 创建 逻辑 上 分 离 的 网 络 以 及 为 何 需 要 在 它们 之 间 进 行路 由 选择 ; 

口 配置 和 验证 VLAN 以 及 排除 其 故障 ; 

口 在 思科 交换 机 上 配置 和 验证 中 继 以 及 排除 其 故障 ; 

口 配置 和 验证 VTP 以 及 排除 其 故障 ; 

口 配置 和 验证 RSTP 以 及 排除 其 故障 ; 

口 对 各 种 show 命令 和 debug 命令 的 输出 进行 解读 ， 以 验证 思科 交换 型 网 络 的 运行 状态 ; 

口 实现 基本 的 交换 机 安全 , 包括 端口 安全 、 控制 对 中 继 线 的 访问 、 管理 除 vlan 1 外 的 其 他 vlan 等 。 

默认 情况 下 ， 交 换 机 分 割 冲突 域 ,而 路 由 器 分 割 广播 域 一 一 前 面 一 直 在 说 这 个 东西 ,但 为 确保 你 
忘记 ， 这 里 最 后 一 次 重申 。 重 申 这 一 点 后 ,我 感觉 好 多 了 ， 我 们 继续 吧 ! 

以 前 前 的 网 络 基于 紧缩 主干 《collapsed backbone )， 而 当今 的 网 络 设计 采用 的 架构 更 加 平面 化 ， 这 


都 是 拜 交换 机 所 赐 。 那 又 如 何 呢 ? 在 纯粹 的 交换 型 互联 网 络 中 ， 如 何 划 分 广播 域 呢 ? 答案 是 创建 虚 
拟 局 域 网 (VLAN )。VLAN 是 一 个 网 络 用 户 和 网 络 资源 的 逻辑 编组 ， 它 们 与 管理 者 定义 的 交换 机 端 
口 相连 。 通 过 创建 VLAN， 可 指定 交换 机 端口 为 不 同 的 子 网 服务 ， 从 而 在 第 2 层 交换 型 网 络 中 创建 
更 小 的 广播 域 。VLAN 就 像 是 一 个 独立 的 子 网 或 广播 域 ， 这 意味 着 只 会 在 属于 同一 个 VLAN 的 端口 
之 间 交 换 广播 帧 。 


这 是 否 意味 着 不 再 需要 路 由 器 了 呢 ? 答案 可 能 是 肯定 的 , 也 可 能 是 否定 的 。 这 取决 于 你 想 要 做 什 


么 (或 需求 是 什么 )。 默认 情况 下 , 分 属 不 同 VLAN 的 主机 不 能 彼此 通信 ; 如 果 要 进行 VLAN 间 通 信 ， 
则 仍 需 要 路 由 器 。 


在 本 章 中 ,你 将 详细 了 解 VLAN 是 什么 以 及 如 何在 交换 型 网 络 中 使 用 VLAN 成 员 资格 。 另 外 ， 


本 章 还 将 全 面 介绍 如 何 使 用 VLAN 中 继 协 议 (VTP ) 来 更 新 交换 数据 库 中 的 VLAN 信息 ,以 及 如 何 使 
用 中 继 技 术 通 过 单条 链 路 发 送 来 自 所 有 VLAN 的 信息 。 最 后 ,我 们 会 在 交换 型 网 络 中 添加 一 台 路 由 器 ， 
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以 演示 如 何 实现 VLAN 间 通 信 。 
当然 ， 我 们 还 将 在 交换 型 网 络 中 配置 VLAN、VTP 和 VLAN 间 路 由 选择 。 


有 关 本 章 的 最 新 修订 ， 请 访问 www.lammle.com 或 www.sybex.com/go/ccna7e。 
注意 


11.1 VLAN 基础 


11-1 说 明了 第 2 层 交 换 型 网 络 的 典型 设计 一 一 平面 型 网 络 。 在 这 种 网 络 中 , 每 台 设备 都 能 看 到 
所 有 的 广播 分 组 ， 而 不 管 它 是 否 需 要 接收 这 些 数 据 。 


图 11-1 平面 型 网 络 结 构 


默认 情况 下 ， 路 由 器 只 允许 广播 在 始 发 网 县 中 传输 ， 而 交换 机 将 广播 转发 到 所 有 网 段 。 顺 便 说 一 
句 ， 这 种 网 络 之 所 以 称 为 平面 型 网 络 ， 是 因为 它 只 有 一 个 广播 域 ， 而 不 是 因为 其 物理 设计 是 平面 的 。 
在 图 11-1 中 ， 主 机 A 发 送 广播 后 ， 所 有 交换 机 的 所 有 端口 都 对 其 进行 转发 ， 接 收 广播 的 端口 除外 。 

现在 来 看 图 11-2， 这 是 一 个 交换 型 网 络 ， 其 中 的 路 由 器 发 送 一 个 帧 ， 其 目的 地 为 主机 D。 正 如 你 
看 到 的 , 这 里 的 重点 在 于 ,只 将 这 个 帧 从 主机 D 连接 的 端口 转发 出 去 了 。 除 非 你 希望 默认 情况 下 只 有 
一 个 冲突 域 (但 可 能 性 不 大 )， 通 常 说 来 ， 这 相对 于 老式 集线器 网 络 是 一 项 重大 改进 。 
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11-2 ”交换 型 网 络 的 优点 
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我 们 知道 , 第 2 层 交 换 型 网 络 的 最 大 好 处 是 ， 与 每 个 交换 机 端口 相连 的 每 台 设备 都 是 一 个 独立 的 
冲突 域 。 这 消除 了 以 太 网 的 密度 约束 ， 让 你 能 够 组 建 规模 更 大 的 网 络 。 然 而 ， 每 项 新 改进 都 会 带 来 新 
问题 ， 例 如 ， 网 络 包含 的 用 户 和 设备 越 多 ， 每 台 交 换 机 需要 处 理 的 广播 和 分 组 就 越 多 。 

还 存在 另 一 个 问题 : 安全 。 这 是 一 个 坏 手 的 问题 ， 因 为 在 典型 的 第 2 层 交 换 型 互联 网 络 中 ， 默 认 
情况 下 每 位 用 户 都 能 看 到 所 有 的 设备 。 我 们 无 法 阻止 设备 发 送 广播 ， 也 无 法 阻止 用 户 试图 对 广播 作出 
响应 。 这 意味 着 可 采取 的 唯一 安全 措施 是 ， 在 服务 器 和 其 他 设备 上 设置 密码 。 

但 请 等 一 等 ， 如 果 创 建 虚拟 局 域 网 (VLAN )， 还 是 有 希望 的 。 你 马上 就 会 看 到 ， 使 用 VLAN 可 
解决 第 2 层 交 换 存 在 的 众多 问题 。 

下 面 简要 地 说 明了 VLAN 简化 网 络 管理 的 方式 : 

口 在 网 络 中 添加 、 移 走 和 更 换 设备 很 容易 ， 只 需 将 端口 加 入 合适 的 VLAN 即 可 ; 

口 对 于 安全 要 求 极 高 的 用 户 ， 可 将 他 们 加 入 独立 的 VLAN， 这 样 ， 其 他 VLAN 中 的 用 户 将 不 能 

与 他 们 通信 ; 

口 作为 用 户 逻 辑 编组 ，VLAN 可 独立 于 用 户 的 地 理 位 置 ; 

口 VLAN 极 大 地 改善 了 网 络 安全 ; 

口 VLAN 增 加 了 广播 域 的 数量 ， 同 时 缩小 了 广播 域 的 规模 。 

接 下 来 将 全 面 介绍 交换 的 特征 , 并 详细 描述 为 何 交换 机 在 现代 网 络 中 提供 的 网 络 服务 优 于 集线器 。 


11.1.1 控制 广播 


每 种 协议 都 使 用 广播 ， 但 广播 的 频率 取决 于 3 个 因素 : 

口 协议 的 类 型 ; | 

口 互联 网 络 中 运行 的 应 用 程序 ; 

口 这 些 服务 的 使 用 方式 。 

开发 人 员 对 一 些 老式 应 用 程序 进行 了 重 写 ， 以 降低 其 占用 的 带宽 , 但 新 一 代 应 用 程序 在 带宽 方面 
非常 贪 禁 ， 它 们 占用 能 找到 的 所 有 带宽 。 这 些 带 宽 贫 禁 者 就 是 多 媒体 应 用 程序 ， 它 们 大 量 使 用 广播 和 
组 播 。 这 些 广播 密集 型 应 用 程序 带 来 了 很 多 问题 ， 而 不 完善 的 设备 、 网 段 划分 不 充分 、 设 计 糟糕 的 防 
火 墙 让 这 些 问 题 更 加 严重 。 所 有 这 些 因素 给 网 络 设计 增添 了 新 的 变数 ， 也 让 管理 员 面 临 一 系列 新 的 挑 
战 。 必 须 对 网 络 进行 正确 的 分 段 ， 以 便 能 够 快速 隔离 问题 ， 防 止 它们 传播 到 整个 互联 网 络 。 为 此 ， 最 
有 效 的 方式 是 使 用 交换 和 路 由 选择 。 

鉴于 交换 机 日 益 便 宜 ,， 很 多 公司 都 对 其 使 用 集线器 的 平面 型 网 络 进行 了 改进 , 将 其 改 成 纯粹 的 交 
换 型 网 络 和 VLAN 环境 。 在 同一 个 VLAN 中 ,所 有 设备 都 属于 同一 个 广播 域 ， 接 收 其 他 设备 发 送 的 
所 有 广播 。 默 认 情 况 下 ,这 些 广播 不 会 通过 连接 到 其 他 VLAN 的 交换 机 端口 转发 出 去 。 这 很 好 ， 因 为 
它 提供 了 交换 型 网 络 的 所 有 优点 ， 避 免 了 所 有 用 户 属于 同一 个 广播 域 带 来 的 所 有 问题 。 


11.1.2 ”安全 性 


陷阱 无 处 不 在 ， 该 回 过 头 来 谈 谈 安 全 问题 了 。 在 平面 型 互联 网 络 中 ， 为 确保 安全 ， 通 常 使 用 路 由 
器 将 集线器 和 交换 机 连接 在 一 起 。 因 此 ， 确 保安 全 的 职责 基本 上 落 在 路 由 器 的 头 上 。 这 种 办 法 非常 低 
效 ， 其 原因 有 几 个 。 首 先 ， 只 要 连接 到 物理 网 络 ， 任 何人 都 可 访问 其 所 属 LAN 中 的 网 络 资源 ; 其 次 ， 
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任何 人 都 可 监视 网 络 中 传输 的 数据 流 ， 只 需 将 一 个 网 络 分 析 器 插入 集线器 即 可 ; 第 三 ， 用 户 只 需 将 其 
工作 站 连接 到 集线器 ， 就 可 加 入 相应 的 工作 组 。 这 样 的 安全 犹如 将 一 桶 没有 加 盖 的 蜂蜜 放 在 熊 窜 里 。 

但 这 正 是 VLAN 如 此 出 色 的 原因 所 在 。 通 过 使 用 VLAN 创建 广播 域 ， 你 可 以 完全 控制 所 有 端口 
和 用 户 ! 这 样 ， 任 何人 只 需 将 其 工作 站 连接 到 交换 机 端口 便 可 访问 网 络 资源 的 历史 便 一 去 不 复 返 了 ， 
因为 你 可 以 控制 每 个 端口 以 及 通过 该 端口 可 访问 的 资源 。 

不 仅 如 此 ， 还 可 根据 用 户 需要 访问 的 网 络 资源 来 创建 VLAN， 并 对 交换 机 进行 配置 ， 使 其 在 有 人 
未 经 授权 访问 网 络 资源 时 告知 网 络 管理 工作 站 。 如 果 需 要 在 VLAN 之 间 进 行 通信 , 可 在 路 由 器 上 实施 
限制 ,确保 这 种 通信 是 安全 的 。 还 可 以 对 硬件 地 址 、 协 议和 应 用 程序 进行 限制 。 这 样 ， 给 蜂蜜 桶 加 了 
盖 ， 并 用 带刺 的 铁丝 网 保护 起 来 了 。 


11.1.3 灵活 性 和 可 扩展 性 


如 果 你 仔细 阅读 了 之 前 的 内 容 ， 就 知道 第 2 层 交 换 机 仅 为 过 滤 而 查看 帧 一 一 它们 不 会 查看 网 络 层 
协议 。 上 默认 情况 下 ， 交 换 机 将 广播 转发 给 所 有 端口 ; 但 通过 创建 并 实现 VLAN， 可 在 第 2 层 创建 更 小 
的 广播 域 。 

这 意味 着 从 一 个 VLAN 中 的 节点 发 送 的 广播 不 会 转发 到 属于 其 他 VLAN 的 端口 。 因 此 ， 通 过 将 
交换 机 端口 或 用 户 分 配 到 横 跨 一 台 或 多 台 交换 机 的 VLAN 分 组 ， 可 只 将 所 需 的 用 户 加 入 相应 的 广播 
域 ， 而 不 管用 户 的 物理 位 置 如 何 。 这 也 有 助 于 防范 因 网 络 接口 卡 (NIC ) 出 现 故障 导致 的 广播 风暴 ， 
还 可 防止 中 间 设 备 将 广播 风暴 传播 到 整个 互联 网 络 。 广播 风暴 仍 会 在 有 问题 的 VLAN 中 发 生 , 但 不 会 
传播 到 其 他 VLAN。 

另 一 个 优点 是 ， 如 果 VLAN 太 大 ， 可 将 其 划分 成 多 个 VLAN， 以 防 广播 占用 太 多 的 带宽 : VLAN 
包含 的 用 户 越 少 , 受 广播 影响 的 用 户 就 越 少 。 这 当然 很 好 , 但 在 创建 VLAN 时 ， 需 要 考虑 网 络 服务 并 
了 解 用 户 如 何 连接 到 这 些 服务 。 应 尽 可 能 将 所 有 服务 ( 人 人 必需 的 电子 邮件 和 因特网 接 和 人 服务 除外 ) 
限定 在 用 户 所 属 的 VLAN 内 。 

为 明白 VLAN 对 交换 机 的 依赖 程度 ， 先 来 看 看 传统 的 网 络 ， 这 会 有 所 帮助 。 图 ， 11-3 所 示 的 网 络 

展示 了 如 何 使 用 集线器 将 物理 LAN 连接 到 路 由 器 。 


市 场 营销 部 


财务 部 管理 部 
图 11-3 ”连接 到 路 由 器 的 物理 LAN 


11.1 VLAN 基础 431 


可 以 看 到 ， 每 个 网 络 都 通过 和 集线器 连接 到 路 由 器 ( 每 个 网 段 都 有 自己 的 逻辑 网 络 号 ， 虽然 这 一 点 
不 明显 )。 连 接 到 特定 物理 网 络 的 每 个 节点 都 必须 使 用 相应 网 络 号 的 地 址 ， 这 样 才能 通过 互联 网 络 进 
行 通信 。 注意 到 每 个 部 门 都 有 独立 的 LAN, 如 果 需 要 在 销售 部 添加 新 用 户 , 则 只 需 将 其 计算 机 连接 到 
销售 部 的 LAN, 而 它们 将 自动 成 为 销售 部 冲突 域 和 广播 域 的 一 员 。 在 此 前 的 很 多 年 , 这 种 设计 的 效果 
确实 很 好 。 

但 存在 一 个 重大 缺陷 : 如 果 销 售 部 的 集线器 端口 已 满 , 且 需 要 将 用 户 加 入 销售 部 LAN, 该 怎么 办 
呢 ? 或 者 如 果 销 售 部 所 在 的 办 公 室 没有 多 余 的 办 公 空间 ,该 如 何 呢 ? 假设 财务 部 有 很 多 办 公 空间 ， 则 
销售 部 新 来 的 成 员 可 在 财务 部 办 公 ， 并 将 其 计算 机 连接 到 财务 部 的 集线器 。 

显然 , 这 样 做 将 导致 这 位 新 用 户 属于 财务 部 LAN， 这 太 糟 糕 了 ， 原 因 很 多 。 首 先 ， 这 带 来 了 严重 
的 安全 问题 。 由 于 新 来 的 销售 部 成 员 位 于 财务 部 的 广播 域 中 ， 他 将 能 够 访问 财务 部 人 员 能 访问 的 所 有 
服务 器 和 网 络 服务 。 其 次 ， 为 访问 销售 部 的 网 络 服务 以 便 完 成 工作 ， 这 位 新 用 户 必须 经 由 路 由 器 登录 
销售 部 的 服务 器 ， 这 样 的 效率 太 低 了 。 

现在 来 看 看 交换 机 能 为 我 们 做 什么 。 图 11-4 演 示 了 如 何 使 用 交换 机 来 消除 物理 边界 ,从 而 解决 上 
述 问题 。 其 中 使 用 了 6 个 VLAN (编号 为 2~7 ) 为 每 个 部 门 创建 一 个 广播 域 。 根据 主机 应 属 的 广播 域 ， 
将 每 个 交换 机 端口 分 配 到 了 合适 的 VLAN。 
5VLAN6VLAN4 
| 加 


提供 VLAN 间 通信 
和 和 WAN 服务 

市 场 营销 部 VLAN2 172.16.20.0/24 

发 货 部 VLAN3 172.16.30.0/24 

工程 部 VLAN4 172.16.40.0/24 

财务 部 VLANS 172.16.50.0/24 

管理 部 VLAN6 172.16.60.0/24 

销售 部 VLAN7 172.16.70.0/24 


11-4 交换 机 可 消除 物理 边界 


现在 ， 如 果 需 要 在 销售 部 VLAN (VLAN 7 ) 新 增 一 名 用 户 ， 只 需 将 该 用 户 连接 的 交换 机 端口 加 
人 VLAN 7, 而 不 管 销 售 部 的 这 位 新 成 员 在 哪里 办 公 ， 真 是 太 好 了 ! 这 说 明了 在 网 络 中 使 用 VLAN 相 
对 于 老式 紧缩 主干 设计 的 重要 优点 之 一 。 现 在 ， 要 将 主机 加 入 销售 部 VLAN， 只 需 将 其 连接 到 一 个 属 
于 VLAN 7 的 端口 即 可 。 

注意 到 这 里 从 2 开始 对 VLAN 进行 编号 。 编 号 无 关 紧 要 , 但 你 可 能 想 知 道 给 VLAN 编号 为 1 结果 
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会 如 何 ? VLAN 1 是 一 个 管理 VLAN， 虽然 也 可 将 其 用 于 工作 组 ,但 思科 建议 只 将 其 用 于 管理 。 不 能 
删除 VLAN 1， 也 无 法 修改 其 名 称 ， 默 认 情 况 下 ， 所 有 交换 机 端口 都 属于 VLAN 1。 

由 于 每 个 VLAN 都 是 一 个 广播 域 ， 因 此 它们 也 有 自己 的 子 网 号 ( 如 图 11-4 所 示 )。 如 果 使 用 的 是 
IPv6， 则 必须 给 每 个 VLAN 分 配 独 立 的 IPv6 网 络 号 。 为 便于 理解 ， 你 只 需 将 VLAN 视 为 独立 的 子 网 
或 网 络 即 可 。 

现在 来 澄清 误解 :“ 有 了 交换 机 后 , 就 不 再 需要 路 由 器 了 。” 请 看 图 11-4, 注意 到 其 中 有 7 个 VLAN 
( 即 广播 域 ), 包括 VLAN 1, 每 个 VLAN 中 的 节点 都 能 彼此 通信 , 但 不 能 与 其 他 VLAN 中 的 节点 通信 ， 
因为 这 些 节点 认为 自己 位 于 类 似 于 图 11-3 所 示 的 紧缩 主干 中 。 

为 让 图 11-4 中 的 主机 能 够 与 其 他 VLAN 中 的 主机 通信 ， 需 要 哪 种 方便 的 设备 呢 ? 你 可 能 猜 到 了 ， 
那 就 是 路 由 器 ! 与 图 11-3 所 示 的 一 样 ， 这 些 节 点 需要 通过 路 由 器 (或 其 他 第 3 层 设 备 ) 进行 互联 网 络 
通信 。 就 像 连接 不 同 的 物理 网 络 时 一 样 ，VLAN 之 间 的 通信 必须 通过 第 3 层 设备 ， 因 此 路 由 器 不 会 很 
快 绝迹 ! 


在 本 章 的 交换 型 网 络 中 ， 将 使 用 路 由 器 和 3560 交换 机 提供 VLAN 间 路 由 选择 。 
注意 ”我 们 原本 可 以 将 3560 交换 机 用 作 第 3 层 交 换 机 ， 让 其 行为 与 路 由 器 一 样 。 


11.2 ” VLAN 成 员 资 格 


在 大 多 数 情况 下 , VLAN 由 系统 管理 员 创建 一 将 交换 机 端口 分 配给 VLAN。 这 种 VLAN 被 称 为 
静态 VLAN。 如 果 你 不 介意 多 做 些 工作 ， 可 将 所 有 主机 设备 的 硬件 地 址 都 放 到 数据 库 中 ， 以 便 能 够 配 
置 交换 机 ， 使 其 能 够 动态 地 将 连接 到 交换 机 的 主机 分 配 到 VLAN。 我 不 太 喜 欢 用 “显然 ”描述 事物 ， 
不 过 ， 显 然 ， 这 种 VLAN 被 称 为 动态 VLAN。 接 下 来 的 两 小 节 将 介绍 动态 VLAN 和 静态 VLAN。 


11.2.1 静态 VLAN 


创建 静态 VLAN 是 创建 VLAN 最 常用 的 方法 , 其 原因 之 一 是 静态 VLAN 最 安全 。 这 种 安全 源 自 : 
将 交换 机 端口 分 配 到 特定 VLAN 后 ， 除 非 手 工 修改 ， 否 则 它 将 一 直属 于 该 VLAN。 

静态 VLAN 易于 配置 和 管理 , 非常 适合 用 于 需要 控制 所 有 用 户 移动 的 网 络 环境 。 如 果 使 用 网 络 管 
理 软 件 来 配置 端口 ， 将 很 有 帮助 ， 但 如 果 你 不 愿意 ， 也 并 非 必须 这 样 做 。 

在 图 11-4 中 , 根据 主机 应 归属 于 哪个 VLAN, 手工 配置 了 每 个 交换 机 端口 的 VLAN 成 员 资格 ( 别 
忘 了 ,设备 的 物理 位 置 无 关 紧要 )。 主 机 属于 哪个 广播 域 完 全 由 你 决定 ， 但 别 忘 了 ， 它 必须 有 正确 的 
IP 地 址 信息 。 例 如 ， 必 须 给 VLAN 2 中 的 每 台 主 机 配置 一 个 属于 网 络 172.16.20.0/24 的 下地 址 ， 这 样 
它 才能 成 为 VLAN 2 的 成 员 。 另外 , 将 主机 连接 到 交换 机 端口 时 , 必须 验证 该 端口 的 VLAN 成 员 资 格 。 
如 果 端 口 的 成 员 资格 与 主机 要 求 的 成 员 资格 (由 下 地 址 配置 决定 ) 不 同 , 主机 将 无 法 访问 所 需 的 网 络 
服务 ， 如 工作 组 服务 器 。 


对 于 静态 接 入 端口 ， 可 手工 分 配 其 所 属 的 VLAN， 也 可 通过 RADIUS 服务 器 进 
注意 ” 行 分 配 (使 用 IEEE 802.1x 时 )。 
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11.2.2 动态 VLAN 


另 一 方面 , 动态 VLAN 自动 确定 节点 所 属 的 VLAN。 通过 使 用 智能 管理 软件 , 可 根据 硬件 (MAC ) 
地 址 、 协 议 甚至 创建 动态 VLAN 的 应 用 程序 来 确定 节点 所 属 的 VLAN。 

例如 ,假设 将 MAC 地 址 输入 了 一 个 中 央 VLAN 管理 应 用 程序 ， 则 将 节点 连接 到 一 个 动态 VLAN 
端口 时 ，VLAN 管理 数据 库 将 查找 其 硬件 地 址 ， 并 将 交换 机 端口 分 配给 正确 的 VLAN。 显 然 ， 这 使 管 
理 和 配置 工作 容易 得 多 了 ， 因 为 用 户 移 动 时 ， 连 接 的 交换 机 自动 将 他 分 配给 正确 的 VLAN, 但 需要 注 
意 的 是 ， 你 在 最 初 设置 数据 库 时 需要 做 很 多 额外 的 工作 ,但 这 是 值得 的 1! 

幸好 可 使 用 VLAN 管理 策略 服务 器 ( VMPS ) 服务 来 建立 MAC 地 址 数据 库 ， 以 便 动态 地 将 节点 
分 配 到 VLAN。VMPS 数据 库 将 MAC 地 址 映射 到 VLAN。 

动态 接 人 端口 只 能 属于 一 个 VLAN (VLAN ID 为 1 一 4094 )， 这 是 由 VMPS 动态 分 配 的 。Catalyst 
2960 交换 机 只 能 充当 VMPS 客户 端 。 在 同一 台 交 换 机 中 ， 可 以 同时 有 动态 接 人 端口 和 中 继 端口 ， 但 
动态 接 人 端口 只 能 连接 到 终端 或 集线器 ， 而 不 能 连接 到 其 他 交换 机 ! 


11.3 标识 VLAN 


交换 机 端口 是 第 2 层 接口 ， 这 种 接口 与 物理 端口 相关 联 。 交 换 机 端口 为 接 人 端口 时 ， 只 能 属于 一 
个 VLAN， 而 为 中 继 端 口 时 ， 可 属于 所 有 VLAN。 可 手工 将 端口 配置 为 接 入 端口 或 中 继 端口 ， 也 可 在 
每 个 端口 上 运行 动态 中 继 协 议 ( DTP )， 并 让 它 来 设置 交换 端口 模式 一 DTP 通过 与 链 路 另 一 端的 端 
口 协商 来 设置 端口 模式 。 
交换 机 是 非常 忙碌 的 设备 。 为 在 网 络 中 交换 帧 ， 交 换 机 必须 能 够 跟踪 链 路 类 型 ， 并 根据 硬件 地 址 
对 帧 做 相应 的 处 理 。 别 忘 了 ， 根 据 帧 穿越 的 链 路 类 型 以 不 同 的 方式 对 其 进行 处 理 。 
在 交换 环境 中 ， 存 在 两 种 类 型 的 端口 。 
口 接 入 端口 接 入 端口 只 属于 一 个 VLAN， 且 只 为 该 VLAN 传输 数据 流 。 这 种 端口 以 本 机 格式 
发 送 和 接收 数据 流 ， 而 不 进行 VLAN 标记 。 接 人 端口 收 到 数据 流 后 ， 都 假定 它 属 于 该 端口 所 
属 的 VLAN。 如 果 接 人 端口 收 到 标记 过 (如 IEEE 802.1Q 标记 ) 的 分 组 , 你 认为 它 将 如 何 做 呢 ? 
将 这 种 分 组 丢弃 。 但 为 什么 呢 ? 因为 接 人 端口 不 查看 源 地址 ， 因 此 只 有 中 继 端 口 能 够 转发 和 
接收 标记 过 的 数据 流 。 
与 接 入 链 路 相连 的 设备 没有 VLAN 成 员 资格 的 概念 ， 它 假定 自己 是 某 个 广播 域 的 一 员 ， 
而 没有 全 局 意识 ， 根 本 不 了 解 物理 网 络 拓扑 。 
需要 知道 的 男 一 点 是 ， 将 帧 转发 给 与 接 入 链 路 相连 的 设备 前 ， 交 换 机 将 删除 所 有 的 VLAN 
信息 。 请 记 住 ， 除 非 分 组 被 路 由 ， 否 则 与 接 入 链 路 相连 的 设备 将 无 法 与 其 所 属 VLAN 外 部 的 
设备 通信 。 要 么 将 交换 机 端口 设置 为 接 人 端口 ， 要 么 将 其 设置 为 中 继 端 口 ， 两 者 只 能 取 其 一 。 
因此 ， 你 必须 作出 选择 ， 而 如 果 将 端口 设置 为 接 人 端口 ， 则 它 只 能 属于 一 个 VLAN。 
语音 接 入 端口 ”我 在 前 面 一 直 说 接 入 端口 只 能 属于 一 个 VLAN， 但 这 种 说 法 不 完全 正确 。 
当前 ， 大 多 数 交 换 机 都 允许 将 接 入 端口 分 配给 另 一 个 VLAN， 以 便 传 输 语音 数据 流 ， 这 
种 VLAN 被 称 为 语音 VLAN。 语 音 VLAN 过 去 被 称 为 辅助 VLAN， 它 可 以 与 数据 VLAN 
重 登 ， 允 许 同 一 个 端口 同时 传输 语音 和 数据 。 虽 然 从 技术 上 说 ， 这 属于 不 同类 型 的 链 路 ， 
但 它 仍然 只 是 一 种 接 入 端口 ， 只 是 能 够 配置 的 同时 为 语音 VLAN 和 数据 VLAN 传输 数据 
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流 。 这 让 你 能 够 将 电话 和 PC 同时 连接 到 同一 个 交换 机 端口 ,并 让 它们 属于 不 同 的 VLAN。 
在 本 章 后 面 的 11.8 节 ， 将 详细 介绍 语音 VLAN。 
口 中 继 端 口 ” 信 不 信 由 你 ， 术 语 中 继 端 口 的 灵感 来 自 电话 系统 中 同时 传输 多 个 电话 的 中 继 线 。 
同样 的 道理 ， 中 继 端口 也 可 以 同时 传输 多 个 VLAN 的 数据 流 。 
中 继 链 路 是 一 条 100 或 1000 Mbit/s 的 点 到 点 链 路 , 位 于 交换 机 之 间 、 交 换 机 和 路 由 器 之 间或 交换 
机 和 服务 器 之 间 ， 它 同时 为 多 个 (1~4094 个 ,但 除非 使 用 扩展 VLAN， 否 则 最 多 为 1005 个 ) VLAN 
传输 数据 流 。 
使 用 中 继 可 让 一 个 端口 同时 属于 众多 不 同 的 VLAN。 这 很 好 ， 因 为 通过 设置 端口 ， 可 让 同一 台 服 
务 器 属于 两 个 不 同 的 广播 域 ， 这 样 用 户 无 需 通 过 第 3 层 设备 (路 由 器 ) 就 能 登录 或 访问 它 。 中 继 的 另 
一 个 优点 表现 在 连接 交换 机 的 情况 。 中 继 链 路 可 传输 来 自 不 同 VLAN 的 帧 , 但 默认 情况 下 ,如 果 交 换 
机 之 间 的 链 路 不 是 中 继 链 路 ， 它 将 只 传输 相应 的 接 人 VLAN 的 数据 流 。 
另外 需要 知道 的 是 , 每 个 VLAN 都 通过 中 继 链 路 发 送信 息 , 除非 手工 将 其 排除 在 外 。 请 不 用 担心 ， 
稍 后 会 介绍 如 何 将 VLAN 排除 在 外 。 
请 看 图 11-5， 它 演示 了 交换 型 网 络 使 用 的 接 人 链 路 和 中 继 链 路 。 由 于 交换 机 之 间 的 中 继 链 路 ， 每 
台 主 机 都 能 够 与 其 所 属 VLAN 中 的 其 他 所 有 主机 通信 。 然 而 ， 如 果 在 交换 机 之 间 使 用 的 是 接 人 链 路 ， 
则 只 有 一 个 VLAN 中 的 主机 可 跨越 交换 机 进行 通信 。 我 们 可 以 看 到 , 主机 通过 接 人 链 路 连接 到 交换 机 ， 
因此 它们 只 能 在 所 属 VLAN 内 部 通信 。 这 意味 着 在 没有 路 由 器 的 情况 下 ， 任 何 主机 都 无 法 与 其 他 
VLAN 中 的 主机 通信 ,但 可 通过 中 继 链 路 将 数据 发 送 给 这 样 的 主机 ， 即 它 与 其 他 交换 机 相连 ,但 属于 
同一 个 VLAN。 


i die dete on ee on st dy 


通过 使 用 中 继 链 路 ，VLAN 可 横 跨 多 台 交 
换 机 。 中 继 链 路 为 多 个 VLAN 传 输 数据 流 


Red VLAN Blue VLAN Green VLAN 
图 11-5 交换 型 网 络 中 的 接 入 链 路 和 中 继 链 路 


好 了 ,终于 到 了 讲述 帖 标记 和 帖 标记 过 程 中 使 用 的 VLAN 标识 的 时 候 了 。 
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11.3.1 ”对 帧 进行 标记 


我 们 知道 ，VLAN 可 横 跨 多 人 台 相 连 的 交换 机 ， 如 图 11-4 所 示 , 其 中 显示 了 一 系列 横 跨 多 台 交 换 机 
的 VLAN 中 的 主机 。 这 种 灵活 而 强大 的 功能 可 能 是 实现 VLAN 的 主要 优点 。 

但 这 也 有 些 复杂 ， 即 使 对 交换 机 来 说 亦 如 此 ， 它 们 必须 对 穿越 交换 构造 (switch fabric ) 和 VLAN 
的 帧 进行 跟踪 。 这 里 所 说 的 交换 构造 指 的 是 一 组 共享 相同 VLAN 信息 的 交换 机 , 这 正 是 帧 标记 闪 亮 登 
场 的 地 方 。 这 种 帧 标识 方法 在 每 个 帧 中 添加 用 户 定 义 的 VLAN ID， 有 些 人 将 VLAN ID 称 为 VLAN 微 
记 (color )。 

这 种 帧 标识 方法 的 工作 原理 如 下 : 进入 交换 构造 后 ， 帧 到 达 的 每 台 交 换 机 都 首先 从 帧 标记 中 获取 
VLAN ID, 然后 查看 过 滤 表 中 的 信息 ， 以 确定 如 何 对 帧 进行 处 理 。 如 果 帧 到 达 的 交换 机 还 有 另 一 条 中 
继 链 路 ， 将 被 从 该 中 继 链 路 端口 转发 出 去 。 

当 帧 到达 出 口 ， 即 一 条 与 帧 中 的 VLAN ID 匹配 的 接 入 链 路 ( 由 转发 /过 滤 表 确定 ) 后 ， 交 换 机 将 
把 VLAN ID 删除 ， 让 目标 设备 即使 不 明白 VLAN ID 也 能 够 接收 帧 。 

对 于 中 继 端 口 ， 需 要 指出 的 另 一 点 是 ， 它 们 可 同时 支持 标记 过 和 未 标记 的 数据 流 ( 如 果 使 用 的 是 
中 继 协议 802.1Q ， 稍 后 讨论 这 部 分 内 容 )。 中 继 端口 有 一 个 默认 端口 YLAN ID (PVID )， 这 是 用 于 传 
输 未 标记 数据 流 的 VLAN 的 ID。 这 个 VLAN 也 被 称 为 本 机 VLAN， 默 认 总 是 VLAN 1 (但 可 修改 为 
任何 VLAN 编号 )。 

同样 , 不管 数据 流 是 否 被 标记 过 ,如 果 其 包含 的 VLAN ID 为 NULL( 未 指定 ), 则 认为 它 属于 PVID 
对 应 的 VLAN ( 默认 为 VLAN 1 )。 如 果 分 组 包含 的 VLAN ID 与 出 站 端口 的 本 机 VLAN 相同 ， 则 在 发 
送 时 不 对 其 进行 标记 ,因此 只 能 传输 到 同一 VLAN 中 的 主机 或 设备 。 对 于 其 他 所 有 数据 流 , 发 送 时 都 
必须 添加 VLAN ID ， 以 便 能 够 在 该 VLAN 中 传输 。 


11.3.2 ”VLAN 标识 方法 


交换 机 使 用 VLAN 标识 来 跟踪 穿越 交换 构造 的 所 有 帧 ,并 确定 帧 所 属 的 VLAN。 中 继 方 法 有 多 种 。 

1. 交换 机 间 链 路 (ISL) 

交换 机 间 链 路 (1ISL ) 是 一 种 显 式 标记 方法 ， 它 在 以 太 网 帧 中 添加 VLAN 信息 。 这 些 标记 信息 人 允 
许 利 用 外 部 标记 方法 在 中 继 链 路 上 多 路 复 用 多 个 VLAN 的 数据 流 , 从 而 让 交换 机 确定 通过 中 继 链 路 收 
到 的 帧 属于 哪个 VLAN。 | 

通过 使 用 ISL, 可 连接 多 台 交 换 机 ， 并 在 数据 流通 过 中 继 链 路 在 交换 机 之 间 传 输 时 保留 VLAN 信 
息 。ISL 运行 在 第 2 层 ， 它 使 用 新 的 报头 和 循环 宛 余 校 验 (CRC ) 封装 数据 帧 。 

需要 注意 的 是 ， 这 是 一 种 思科 专用 协议 ， 只 能 用 于 快速 以 太 网 和 吉 比 特 以 太 网 链 路 。ISL 路 由 选 
择 多 才 多 艺 ， 可 用 于 交换 机 端口 、 路 由 器 接口 和 服务 器 接口 卡 。 

2.1EEE 802.1Q 

IEEE 802.1Q 是 IEEE 制定 的 一 种 帧 标记 标准 ， 它 在 帧 中 插 人 一 个 字段 , 用 于 标识 VLAN。 在 思科 
交换 机 和 其 他 品牌 的 交换 机 之 间 中 继 时 ， 必 须 使 用 802.1Q。 

其 工作 原理 如 下 : 首先 指定 中 继 端 口 ， 并 指定 它 使 用 802.1Q 封装 。 为 让 这 些 端口 能 够 通信 ， 必 须 
指定 它们 所 属 的 VLAN。 默 认 的 本 机 VLAN 为 VLAN 1, 使 用 802.1Q 时 ,不 会 对 本 机 VLAN 数据 流 进 
行 标记 。 中 继 链 路 两 端的 端口 根据 本 机 VLAN 组 成 一 个 小 组 , 并 使 用 相应 的 标识 号 ( 默认 为 VLAN 1 ) 
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对 帧 进行 标记 。 本 机 VLAN 让 中 继 链 路 能 够 传输 不 包含 VLAN 标识 ( 帧 标记 ) 的 信息 。 
2960 交换 机 只 支持 中 继 协 议 IEEE 802.1Q， 而 3560 交换 机 支持 ISL 和 IEEE 802.1Q。 


帧 标记 方法 ISL 和 802.1Q 的 基本 用 途 是 , 提供 交换 机 间 VLAN 通信 。 另外 ， 别 
注意 。 忘 了 ， 将 帧 转发 到 接 入 链 路 前 ， 将 删除 ISL 或 802.1Q 帧 标记 一 一 标记 只 用 于 中 继 链 
路 内 部 。 


11.4_VLAN 中 继 协 议 (VTP) 


这 种 协议 也 是 思科 开发 的 。VLAN 中 继 协 议 (VTP ) 的 基本 目标 是 ， 管 理 交 换 型 互联 网 络 中 配置 
的 所 有 VLAN, 确保 整个 网 络 的 一 致 性 。VTP 让 你 能 够 添加 、 删 除 和 重 命名 VLAN， 这 种 信息 随后 将 
传播 到 VTP 域 中 所 有 的 交换 机 。 

下 面 是 VTP 必须 提供 的 一 些 功能 : 

口 网 络 中 所 有 交换 机 的 VLAN 配置 都 必须 一 致 ; 

口 让 VLAN 能 够 跨越 不 同类 型 的 网 络 ， 如 以 太 网 和 ATM LANE (或 FDDI ); 

口 准确 地 跟踪 和 监视 VLAN; 

口 随时 将 新 增 的 VLAN 报告 给 VTP 域 中 其 他 所 有 的 交换 机 ; 

口 以 即 播 即 用 的 方式 新 增 VLAN。 

这 很 好 ， 但 要 使 用 VTP 来 管理 网 络 中 的 VLAN， 必 须 创 建 VTP 服务 器 ( 实际 上 ， 甚 至 不 需要 这 
样 做 ， 因 为 默认 情况 下 ， 所 有 交换 机 都 处 于 VTP 服务 器 模式 ， 但 必须 确保 有 服务 器 )。 要 共享 VLAN 
信息 ， 服 务 器 必须 使 用 相同 的 域名 ; 每 台 交 换 机 不 能 同时 属于 多 个 域 。 这 意味 着 仅 当 不 同 交换 机 属于 
同一 个 VTP 域 时 ， 它 们 才能 分 享 VTP 信息 。 在 网 络 中 有 多 台 交 换 机 时 ， 可 使 用 VTP 域 ; 但 如 果 所 有 
交换 机 都 属于 同一 个 VLAN， 则 根本 不 需要 使 用 VTP。 请 务必 牢记 ， 只 能 通过 中 继 端 口 在 交换 机 之 间 
发 送 VTP 信息 。 

交换 机 使 用 指定 参数 通告 VTP 管理 域 信 息 、 配 置 修订 号 和 所 有 已 知 的 VLAN。 但 交换 机 还 可 处 
于 VTP 透明 模式 。 在 这 种 模式 下 ， 可 配置 交换 机 ， 使 其 通过 中 继 端 口 转发 VTP 信息 ， 但 不 接受 信息 
更 新 ， 也 不 更 新 其 VTP 数据 库 。 

如 果 担 心 有 人 背 着 你 将 交换 机 加 入 VTP 域 中 , 可 设置 密码 , 但 别 忘 了 , 每 台 交 换 机 都 必须 使 用 相 
同 的 密码 。 可 以 想见 ， 这 种 微不足道 的 小 问题 可 能 成 为 管理 上 的 大 麻烦 ! 

交换 机 在 VTP 通告 中 查看 新 增 的 VLAN ,然后 通过 其 中 继 端 口 发 送 更 新 ,其 中 包含 新 增 的 VLAN。 
发 送 的 更 新 包含 修订 号 ， 交 换 机 看 到 更 高 的 修订 号 后 ， 就 知道 获得 的 信息 是 最 新 信息 ， 因 此 它 会 使 用 
这 些 最 新 信息 更 新 VLAN 数据 库 。 

两 台 交 换 机 要 交换 VLAN 信息 ， 必 须 满足 如 下 三 项 要 求 : 

口 两 台 交 换 机 的 VTP 管理 域名 相同 ; 

口 其 中 一 台 交 换 机 被 配置 为 VTP 服务 器 ; 

口 VTP 密码 相同 ( 如 果 使 用 了 的 话 )。 

这 里 不 需要 路 由 器 。 接 下 来 ， 我 们 来 更 深入 地 介绍 一 下 VTP: VTP 模式 和 VTP 修剪 。 
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11.4.1 VTP 运行 模式 
11-6 显示 了 在 同一 VTP 域 中 运行 的 3 种 VTP 模式 。 


服务 器 配置 存储 在 NVRAM 中 


客户 端 配 置 : 不 存储 在 NVRAM 中 透明 配置 : 存储 在 NVRAM 中 
图 11-6 VTP 模 式 


口 服务 器 模式 ”这 是 所 有 Catalyst 交换 机 的 默认 模式 。 为 将 VLAN 信息 传 遍 整个 VIP 域 ， 至少 
需要 有 一 台 服 务 器 。 另 外 ， 只 有 处 于 服务 器 模式 的 交换 机 才能 在 VTP 域 中 创建 、 添 加 和 删除 
VLAN; 修改 VLAN 信息 时 也 必须 在 服务 器 模式 下 进行 ; 在 处 于 服务 器 模式 下 的 交换 机 中 对 
VLAN 所 作 的 任何 修改 都 将 被 通告 给 整个 VTP 域 。 在 VTP 服务 器 模式 下 ，VLAN 配 置 存 储 在 
交换 机 的 NVRAM 中 。 

口 客户 端 模式 ”这 种 模式 的 交换 机 接收 来 自 VTP 服务 器 的 信息 ， 也 接收 并 转发 更 新 ， 从 这 种 意 
义 上 说 ， 它 们 类 似 于 VTP 服务 器 ; 差别 在 于 它们 不 能 创建 、 修 改 或 删除 VLAN。 另 外 ， 只 能 
将 客户 端 交换 机 的 端口 加 入 到 其 VLAN 数据 库 中 已 有 的 VLAN 中 。 还 需要 知道 的 是 ， 客 户 端 
交换 机 不 会 将 来 自 VTP 服务 器 的 VLAN 信息 存储 到 NVRAM 中 , 这 一 点 很 重要 , 它 意味 着 如 
果 交 换 机 重 置 或 重启 ，VLAN 信息 将 丢失 。 要 让 交换 机 成 为 服务 器 ， 应 首先 让 其 成 为 客户 端 ， 
以 便 接收 所 有 正确 的 VLAN 信息 ， 再 将 其 切换 到 服务 器 模式 一 一 这 样 做 将 容易 得 多 ! 

基本 上 ,处 于 VTP 客户 端 模式 的 交换 机 将 转发 和 处 理 VTP 摘要 通告 。 这 种 交换 机 将 获悉 VTP 配 

置 ， 但 不 会 将 其 保存 到 运行 配置 中 ， 也 不 会 将 其 保存 到 NVRAM 中 。 处 于 VTP 客户 端 模式 的 交换 机 
只 获悉 并 转发 VIP 信息 ， 仅 此 而 已 ! 

口 透明 模式 ”处 于 透明 模式 的 交换 机 不 加 入 VTP 域 ， 也 不 分 享 其 VLAN 数据 库 ， 而 只 通过 中 继 
链 路 转发 VTP 通告 。 它 们 可 以 创建 、 修 改 和 删除 VLAN， 因 为 它们 保存 自己 的 数据 库 ， 且 不 
将 其 告诉 给 其 他 交换 机 。 虽 然 处 于 透明 模式 的 交换 机 将 其 VLAN 数据 库 保存 到 NVRAM 中 ， 
但 这 种 数据 库 只 在 本 地 有 意义 。 设 计 透明 模式 的 唯一 目的 是 ， 让 远程 交换 机 能 够 通过 未 加 入 
当前 VTP 域 的 交换 机 从 VTP 服务 器 那里 接收 VLAN 数据 库 。 

VTP 只 获悉 常规 VLAN (ID 为 1~1005 的 VLAN ); ID 大 于 1005 的 VLAN 被 称 为 扩展 VLAN， 
它们 不 会 存储 在 VLAN 数据 库 中 。 要 创建 ID 为 1006 一 4094 的 VLAN， 交 换 机 必须 处 于 VTP 透明 模 
式 , 因 此 很 少 使 用 这 样 的 VLAN。 另 外 ,在 每 台 路 由 器 上 ,都 将 自动 创建 VLAN 1 和 VLAN 1002 一 1005， 
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且 不 能 删除 它们 。 


(ODD 真实 案例 
pe 


‘chp 
| 


什么 情况 下 应 考虑 使 用 VTP 


下 面 是 一 个 案例 。Bob 是 位 于 旧金山 的 Acme Corporation 的 一 位 资深 网 络 管理 员 ， 该 公司 有 
25 台 连 接 在 一 起 的 交换 机 ， 而 Bob 想 配置 VLAN 以 增加 广播 域 。 请 问 你 认为 他 在 什么 情况 下 应 
考虑 使 用 VTP? 

如 果 你 的 回答 是 ， 只 要 有 多 台 交 换 机 和 多 个 VLAN, 就 应 使 用 VTP， 那么 你 答对 了 。 如 果 只 
有 一 台 交 换 机 ， 则 根本 不 需要 使 用 VTP。 如 果 没 有 在 网 络 中 配置 VLAN， 也 不 用 考虑 使 用 VTP。 


但 如 果 有 多 台 交换 机 和 多 个 VLAN， 则 最 好 正确 地 配置 VTP 服务 器 和 客户 端 ! 

如 果 要 在 现 有 的 交换 型 网 络 中 添加 交换 机 ， 在 安装 之 前 ， 务 必 将 它 配置 为 VIP 客户 端 ; 否 
则 ， 该 交换 机 很 可 能 向 其 他 所 有 交换 机 发 送 新 的 VTP 数据 库 ， 就 像 核 爆炸 一 样 将 现 有 的 所 有 
VLAN 消灭 殉 尽 。 没 有 人 希望 这 样 的 事情 发 生 ! 


11.4.2 VTP 修剪 


可 以 配置 VTP 以 减少 广播 、 组 播 和 单 播 分 组 ， 从 而 节省 带宽 ， 这 被 称 为 修剪 。 启 用 了 VTP 修剪 
的 交换 机 仅 将 广播 发 送 给 确实 需要 它 的 中 继 链 路 。 

这 意味 着 ， 如 果 交 换 机 A 没 有 属于 VLAN 5 的 端口 , 则 在 VLAN 5 中 传输 的 广播 不 会 进入 连接 到 
交换 机 A 的 中 继 链 路 。 默 认 情况 下 ， 所 有 交换 机 都 禁用 了 VTP 修剪 ， 在 我 看 来 ， 这 种 默认 设置 很 好 。 
在 VTP 服务 器 上 启用 修剪 后 ， 将 在 整个 VTP 域 中 启用 它 。 默 认 情 况 下 ， 修 剪 将 用 于 VLAN 2 ~ 1001， 
但 对 VLAN 1 不 会 修剪 ， 因 为 它 是 一 个 管理 VLAN。VTP 第 1 版 和 第 2 版 都 支持 VTP 修剪 。 

默认 情况 下 , 所 有 VLAN 的 数据 流 都 可 通过 中 继 链 路 进行 传输 ; 为 验证 这 一 点 , 可 使 用 命令 show 


interface trunk: 
Sl#sh int trunk 


Port Mode Encapsulation Status Native vlan 
Fa0/1 auto 802 .19 trunking 1 

Fa0/2 auto 802.19q trunking 1 

Port Vlans allowed on trunk 

Fa0/1 1-4094 

Fa0/2 1-4094 

Port Vlans allowed and active in management domain 

Fa0/1 1 


Fa0/2 1 
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Port Vilans in spanning tree forwarding state and not pruned 
Fa0/1 1 

Fa0/2 none 

S1# 


从 上 述 输 出 可 知 , 默认 禁用 了 VTP 修剪 。 下 面 来 启用 它 。 只 需 使 用 一 个 命令 ， 就 可 在 整个 交换 型 
网 络 中 启用 VTP 修剪 ， 如 下 所 示 : 

Si#config t 

Sl(config)#int f0O/1 

Sli(config-if)#switchport trunk ? 
allowed Set allowed VLAN characteristics when interface is 
in trunking mode 
native Set trunking native characteristics when interface 
is in trunking mode 
pruning Set pruning VLAN characteristics when interface is 
in trunking mode 

SliCconfig-if)#switchport trunk pruning ? 
vlan Set VLANs enabled for pruning when interface is in 
trunking mode 

Sl(config-if)#switchport trunk pruning vlan 3-4 


可 修剪 的 VLAN 为 VLAN 2~1001。 扩展 VLAN (VLAN 1006 一 4094 ) 不 能 修剪 ， 因 此 它们 要 接 
收 大 量 的 数据 流 。 


po 


请 务必 阅读 本 节 多 遍 。 要 通过 CCNA 考试 , 请 务必 详细 阅读 本 章 后 面 介 绍 VTP 
注意 ”配置 的 一 节 ， 这 至 关 重 要 。 要 成 为 CCNA， 必 须 对 VTP 有 非常 深入 的 认识 。 


11.5 VLAN 间 路 由 选择 


同一 个 VLAN 中 的 主机 位 于 同一 个 广播 域 中 , 可 自由 地 通信 。VLAN 在 OSI 模型 的 第 2 层 划分 网 
络 和 隔离 数据 流 ; 正如 前 面 解释 为 何 仍 需 要 路 由 器 时 说 的 ， 如 果 要 让 不 同 VLAN 中 的 主机 (或 其 他 有 

IP 地 址 的 设备 ) 能 够 彼此 通信 ， 就 必须 使 用 第 3 层 设备 来 提供 路 由 选择 功能 。 

为 此 ， 可 使 用 能 为 每 个 VLAN 提供 一 个 接口 的 路 由 器 ， 也 可 使 用 支持 ISL 或 802.1Q 的 路 由 器 。 
在 支持 ISL 或 802.1Q 的 路 由 器 中 , 最 便宜 的 是 2600 系列 路 由 器 ( 你 只 能 从 二 手 设 备 经 销 商 那里 购买 ， 
因为 它们 已 经 停产 了 )。1600、1700 和 2500 系列 路 由 器 不 支持 ISL 或 802.1Q。 笔者 建议 至 少 使 用 2800 
系列 路 由 器 ， 它 只 支持 802.1Q 一 一 思科 正 逐 渐 放 弃 ISL， 因 此 你 可 能 应 该 只 使 用 802.1Q (2800 系列 
路 由 器 安装 的 部 分 IOS 可 能 支持 ISL 和 802.1Q， 但 笔者 没有 见 过 )。 

如 图 11-7 所 示 ， 如 果 只 有 两 三 个 VLAN, 则 可 使 用 带 两 三 个 快速 以 太 网 接口 的 路 由 器 。 对 家 庭 用 
户 来 说 ，10 BaseT 是 可 行 的 ， 但 对 于 其 他 用 户 ， 建 议 使 用 快速 以 太 网 接口 或 吉 比 特 以 太 网 接口 。 
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这 台 路 由 器 将 3 个 VLAN 连 接 起 来 了 〈 每 个 
VLAN 一 个 接口 ) ， 以 便 进 行 VLAN 间 通信 


11-7 路 由 器 及 其 连接 的 VLAN 


在 图 11-7 中 ， 每 个 路 由 器 接口 都 连接 了 一 条 接 人 链 路 ， 这 意味 着 每 个 路 由 器 接口 的 IP 地 址 都 将 
成 为 相应 VLAN 中 每 台 主 机 的 默认 网 关 地 址 。 

如 果 VLAN 数量 比 路 由 器 接口 多 , 可 在 一 个 快速 以 太 网 接口 上 配置 中 继 , 也 可 购买 一 台 第 3 层 交 
换 机 ， 如 Cisco 3560 交换 机 或 诸如 6500 等 高 端 交 换 机 。 

也 可 不 给 每 个 VLAN 提供 一 个 路 由 器 接口 , 而 只 使 用 一 个 快速 以 太 网 接口 , 并 在 该 接口 上 运行 中 
继 协议 ISL 或 802.1Q， 如 图 11-8 所 示 。 这 让 所 有 VLAN 都 通过 一 个 接口 进行 通信 ， 思 科 称 之 为 “ 单 
臂 路 由 器 "。 


二 
这 台 路 由 器 通过 一 个 接口 将 3 个 VLAN 
连接 起 来 了 ， 以 便 进行 VYLAN 间 通信 


图 11-8 单 臂 路 由 器 


需要 指出 的 是 , 这 导致 了 潜在 的 瓶颈 和 单 点 故障 ,因此 必须 限制 主机 /VLAN 数量 。 那么 多 少 合适 
妮 ? 这 取决 于 流量 。 要 让 设计 真正 合理 , 最 好 使 用 高 端 交换 机 并 在 背 板 ( backplane ) 上 进行 路 由 选择 ， 
但 如 果 只 有 一 台 路 由 器 可 用 ， 这 样 做 不 需要 额外 的 费用 。 


11.6 ”配置 VLAN 
配置 VLAN 实际 上 非常 容易 ， 这 可 能 让 你 感到 惊讶 。 确 定 要 在 每 个 VLAN 中 包含 哪些 用 户 并 不 
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容易 ， 需 要 耗费 大 量 的 时 间 。 但 确定 要 创建 多 少 个 VLAN 以 及 每 个 VLAN 都 包含 哪些 用 户 后 ， 就 可 
开始 创建 第 一 个 VLAN 了 。 

要 在 思科 Catalyst 交换 机 上 配置 VLAN, 可 使 用 全 局 配置 命令 vlan。 下面 的 示例 演示 了 如 何在 交 
换 机 SI 上 配置 VLAN 一 一 为 3 个 不 同 的 部 门 创建 了 3 个 VLAN ( 别 忘 了 ,默认 情况 下 ，VLAN 1 为 本 
机 VLAN 和 管理 VLAN ): 

Sl#config t 

Si(config)#vlan ? 

WORD ISL VLAN IDs 1-4094 
internal internal VLAN 

Si(config)#vian 2 

Si(config-vlan)#name Sales 

Si(config-vlan)#vlan 3 

Sil(config-vian)#name Marketing 

Sl(config-vlan)#vian 4 

Si(config-vian)#name Accounting 

S1(Cconfig-Vv1an)#^Z 

Sl# 

从 上 述 代码 可 知 ， 可 以 创建 编号 为 2~4094 的 VLAN，, 但 这 不 完全 正确 。 前 面 说 过 ,实际 上 可 使 
用 的 最 大 VLAN 编号 为 1005， 且 不 能 使 用 、 修 改 、 重 命名 或 删除 VLAN 1 以 及 VLAN 1002 一 1005， 
因为 它们 被 预 留 。 编 号 大 于 1005 的 VLAN 称 为 扩展 VLAN， 除 非 交 换 机 处 于 VTP 透明 模式 ,否则 它 
们 不 会 保存 到 数据 库 中 ; 在 生产 环境 中 ,使 用 这 些 VLAN 编号 的 情况 不 常见 。 在 下 面 的 示例 中 ,笔者 
试图 在 处 于 VTP 服务 器 模式 (默认 VTP 模式 ) 的 交换 机 S1 上 创建 VLAN 4000: 

Sl#config t 

Si(Cconfig)#v1lan 4000 

Si(Cconfig-vlan)# 人 Zz 

% Failed to create VLANs 4000 

Extended VLAN(s) not allowed in current VTP mode. 

%Failed to commit extended VLAN(s) changes. 


创建 所 需 的 VLAN 后 ， 可 使 用 命令 show vlan 查看 它们 ， 但 注意 ， 交 换 机 的 所 有 端口 默认 都 属 
于 VLAN 1。 要 调整 端口 所 属 的 VLAN， 需 要 对 每 个 接口 进行 配置 ， 指 定 它 所 属 的 VLAN。 


VLAN 创建 后 ， 除 非 给 它 分 配 交 换 机 端口 ， 否 则 不 会 被 使 用 。 黑 认 情况 下 ， 所 


注意 有 端口 都 属于 VLAN 1。 


创建 VLAN 后 ， 可 使 用 show vlan (简写 为 sh v1an ) 查看 配置 : 
Si#sh vlan 


VLAN Name Status Ports 
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1 defau1t active Fa0/3, Fa0/4, Fa0/5, Fa0/6 
Fa0/7, Fa0/8, Gi0/1 
2 Sales active 
Marketing active 
4 Accounting active 


[output cut] 

这 看 似 多 余 , 但 很 重要 , 还 需 牢记 的 是 , 不 能 修改 、 删 除 或 重 命名 VLAN 1, 因为 它 是 默认 VLAN， 
不 能 修改 。 它 还 是 所 有 交换 机 的 默认 本 机 VLAN， 思科 建议 将 其 用 作 管理 VLAN。 基 本 上 , 没有 显 式 
地 分 配 到 特定 VLAN 的 端口 都 属于 本 机 VLAN (VLAN 1 )。 

从 交换 机 S1 的 上 述 输出 可 知 ， 端 口 Fa0/3 ~ Fa0/8 以 及 上 行 链 路 Gi0/1 都 属于 VLAN 1, 但 端口 1 
和 2 到 哪里 去 了 呢 ? 还 记得 吗 , 前 一 章 创建 了 一 个 以 太 信 道 束 , 所 有 中 继 端 口 都 不 会 出 现在 VLAN 数 
据 库 中 ， 要 查看 中 继 端 口 ， 必 须 使 用 命令 show interface trunk。 

确定 VLAN 已 创建 后 ， 便 可 将 交换 机 端口 分 配给 VLAN 了 。 每 个 端口 都 只 能 属于 一 个 VLAN， 
但 语音 接口 端口 除外 。 通 过 使 用 前 面 介绍 的 中 继 技 术 ， 可 让 端口 为 所 有 VLAN 传输 数据 流 ， 这 将 稍 后 


介绍 。 


11.6.1 将 交换 机 端口 分 配给 VLAN 


要 指定 端口 所 属 的 VLAN， 可 指定 其 接口 模式 (这 决定 了 它 将 传输 哪 种 类 型 的 数据 流 ) 以 及 所 属 
VLAN 的 编号 。 要 将 交换 机 端口 分 配给 特定 VLAN ( 接 人 端口 )， 可 使 用 接口 命名 switchport; 要 同 
时 配置 多 个 端口 ， 可 使 用 第 8 章 介绍 过 的 命令 interface range。 

前 面 说 过 ， 可 将 端口 配置 为 静态 或 动态 的 ， 但 本 书 只 介绍 静态 端口 。 接 下 来 ， 我 将 把 控 口 Fa0/3 
分 配给 VLAN 3， 该 接口 将 交换 机 S1 连接 到 主机 A: 

Sl#config 七 

Sl(config)#int fa0/3 

Sl(config-if)#switchport ? 


access Set access mode characteristics of the interface 

backup Set backup for the interface 

block Disable forwarding of unknown uni/multi cast addresses 

host Set port host 

mode Set trunking mode of the interface 

nonegotiate Device will] not engage in negotiation protocol on this 
interface 

port-security Security related command 

priority Set appliance 802.1p priority 

protected Configure an interface to be a protected port 

trunk Set trunking characteristics of the interface 

voice Voice appliance attributes 


在 上 述 输出 中 ， 有 一 些 新 内 容 。 其 中 显示 了 各 种 命令 一 一 有 些 介绍 过 ， 也 有 你 没 见 过 的 , 但 不 用 
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担心 ， 稍 后 将 介绍 access、mode、nonegotiate、trunk 和 voice。 下 面 首先 将 交换 机 S1 的 一 个 端 
口 设置 为 接 入 端口 ， 在 配置 了 VLAN 的 生产 环境 中 ， 这 可 能 是 使 用 最 广泛 的 端口 类 型 ; 
Si(config-if)#switchport mode ? 
access Set trunking mode to ACCESS unconditionally 
dynamic Set trunking mode to dynamically negotiate access or 
trunk mode 
trunk Set trunking mode to TRUNK unconditionally 


Si(config-if)#switchport mode access 
SiCconfig-if)#switchport access vlan 3 


这 里 首先 使 用 了 命令 switchport mode access， 它 告诉 交换 机 这 是 一 个 非 中 继 第 2 层 端口 。 接 
下 来 ,使 用 命令 switchport access 将 端口 分 配给 一 个 VLAN。 别 忘 了 ， 要 同时 配置 多 个 端口 ， 可 
使 用 命令 interface range。 

这 就 指定 了 端口 所 属 的 VLAN ,但 如 果 此 时 将 设备 连接 到 VLAN 端 口 ,它们 将 只 能 与 同一 个 VLAN 
内 的 设备 通信 。 下 面 将 启用 VLAN 间 通 信 ， 但 在 此 之 前 ， 我 们 先 来 更 详细 地 介绍 一 下 中 继 。 


11.6.2 配置 中 继 端口 


2960 交换 机 只 支持 IEEE 802.1Q 封装 方法 。 要 将 快速 以 太 网 接口 配置 为 中 继 端 口 ， 可 使 用 接口 命 
令 switchport mode trunk。 在 3560 交换 机 上 ， 配 置 方法 稍 有 不 同 ， 这 将 在 下 一 节 介绍 。 

下 面 的 示例 将 接口 fa0/8 配置 成 了 中 继 端 口 : 

Sl#config 七 

S1Cconfig)#int fa0/8 

SLCconfig-if)#switchport mode trunk 

配置 交换 机 接口 时 ， 可 使 用 的 选项 如 下 所 示 。 

口 switchport mode access 这 在 前 一 节 讨论 过 ， 它 将 接口 〈 接 人 端口 ) 设置 为 永久 非 中 继 
模式 ， 并 通过 协商 将 链 路 设置 为 非 中 继 链 路 。 无 论 链 路 另 一 端的 接口 是 否 是 中 继 接口 ， 该 接 
口 都 将 成 为 非 中 继 接口 ， 即 专用 的 第 2 层 接 人 端口 。 

口 switchport mode dynamic auto 这 种 模式 让 接口 能 够 将 链 路 转换 为 中 继 链 路 。 如 果 邻 接 
接口 为 trunk 或 desirable 模式 ， 该 接口 将 成 为 中 继 接 口 。 当 前 ， 默 认 模 式 为 dynamic auto。 

口 switchport mode dynamic desirable 这 让 接口 尽力 将 链 路 转换 为 中 继 链 路 。 如 果 邻 接 
接口 的 模式 为 tunk、desirable 或 auto， 该 接口 将 成 为 中 继 接口 。 这 是 以 前 一 些 交换 机 采用 
的 默认 模式 ,但 现在 不 是 这 样 了 。 在 所 有 新 的 思科 交换 机 中 ， 所 有 以 太 网 接口 都 默认 采用 
这 种 模式 。 

口 switchport mode trunk 将 接口 设置 为 永久 中 继 模式 ， 并 通过 协商 将 邻接 链 路 转换 为 中 继 
链 路 。 即 使 邻接 接口 不 是 中 继 接 口 ， 该 接口 也 将 成 为 中 继 接 口 。 

D switchport nonegotiate 禁止 接口 生成 DTP 帧 。 仅 当 接口 处 于 access 或 trunk 模式 时 ， 
才能 使 用 该 命令 。 在 这 种 情况 下 ， 要 建立 中 继 链 路 ， 必 须 手 工 将 邻接 接口 配置 为 中 继 接口 。 
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动态 中 继 协 议 (DTP ) 用 于 在 两 台 设 备 之 间 协 商 链 路 的 模式 以 及 封装 类 型 
注意 (802.1Q 还 是 ISL )。 在 不 希望 中 继 端 口 进 行 协商 时 ， 笔 者 使 用 命令 nonegotiate。 


要 在 接口 上 禁用 中 继 ， 可 使 用 命令 switchport mode access， 它 将 端口 恢复 为 专用 的 第 2 层 接 
人 端口 。 

1. 在 思科 Catalyst 3560 交换 机 上 配置 中 继 

下 面 来 看 另 一 种 交换 机 一 一 思科 Catalyst 3560。 配 置 与 2960 交换 机 几乎 相同 ,但 3560 交换 机 提 
供 了 第 3 层 服务 ,而 2960 交换 机 没有 。 另 外 ，3560 交换 机 支持 中 继 封装 方法 ISL 和 IEEE 802.1Q, 而 
2960 交换 机 只 支持 802.1Q。 下 面 简要 地 介绍 如 何在 3560 交换 机 上 配置 封装 方法 ,以 及 与 2960 的 差异 。 

3560 交换 机 支持 命令 encapsulation， 而 2960 交换 机 不 支持 : 


Core(config-if)#switchport trunk encapsulation ? 


dotlq Interface uses only 802.19q trunking encapsulation 
when trunking 
is]l Interface uses only ISL trunking encapsulation 


when trunking 
negotiate Device will negotiate trunking encapsulation with peer on 
interface 

Core(config-if)#switchport trunk encapsulation dotlq 

Core(config-if)#switchport mode trunk 

你 可 以 看 到 ， 在 3560 交换 机 上 ， 需 要 将 端口 的 封装 方法 指定 为 IEEE 802.1Q ( dotlq ) 或 ISL。 设 
置 封装 方法 后 ， 还 必须 将 接口 模式 设置 为 中 继 。 坦 率 地 说 ， 现 在 很 少 使 用 封装 方法 ISL 了 。 思 科 正 逐 
渐 放 弃 ISL， 其 新 路 由 器 甚至 不 支持 ISL。 

2. 指定 中 继 端口 支持 的 VLAN 

前 面 说 过 , 默认 情况 下 ， 中 继 端口 发 送 和 接收 来 自 所 有 VLAN 的 信息 ,并 将 未 标记 的 帧 发 送 到 管 
理 VLAN。 这 也 适用 于 扩展 VLAN。 

然而 ， 可 将 某 些 VLAN 排除 在 外 ,禁止 其 数据 流通 过 中 继 链 路 进行 传输 ， 如 下 所 示 : 

Sil#config t 

Sl(config)#int f0/1 

Sil(config-if)#switchport trunk allowed vlan ? 

WORD VLAN IDs of the allowed VLANs when this port is in 
trunking mode 
add add VLANs to the current list 
al] all VLANs 
except all VLANs except the following 
none no VLANS 
remove remove VLANs from the current list 
Si(config-if)#switchport trunk allowed vlan renmove ? 
WORD VLAN IDs of disallowed VLANS when this port is in trunking mode 
Sil(config-if)#switchport trunk alliowed vlan remove 4 
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上 述 代码 影响 在 S1 的 端口 f0/1 上 配置 的 中 继 链 路 ， 导 致 它 丢弃 来 自 VLAN 4 的 数据 流 。 可 以 
尝试 将 VLAN 1 排除 在 外 , 但 中 继 链 路 仍 将 接收 和 发 送 管理 数据 流 , 如 CDP、PAgP、LACP、DTP 
和 VTP。 

要 将 特定 范围 内 的 VLAN 排除 在 外 ， 可 使 用 连 字符 : 

| Sl(config-if)#switchport trunk allowed vlan remove 4-8 

将 VLAN 排除 在 外 后 ， 要 恢复 到 默认 设置 ， 可 使 用 下 述 命令 : 

Si(config-if)#switchport trunk allowed vlan all 
也 可 使 用 如 下 命令 : 

SLCconfig-if)#no switchport trunk allowed vlan 


下 面 介绍 如 何 配置 中 继 端 口 的 本 机 VLAN， 然 后 启用 VLAN 间 路 由 选择 。 
3. 修改 中 继 端 口 的 本 机 VLAN 
实际 上 , 不 需要 修改 中 继 端 口 的 本 机 VLAN, 但 可 以 这 样 做 ， 有 些 人 处 于 安全 考虑 而 这 样 做 。 要 
修改 本 机 VLAN， 可 使 用 如 下 命令 : 
Sl#config 七 
Sil(config)#int f0/1 
Sl(config-if)#switchport trunk ? 
allowed Set allowed VLAN characteristics when interface is 
in trunking mode 
native Set trunking native characteristics when interface 
is in trunking mode 
pruning Set pruning VLAN characteristics when interface is 
in trunking mode 
Sl(config-if)#switchport trunk native ? 
vlan Set native VLAN when interface is in trunking mode 
Si(config-if)#switchport trunk native vlan ? 
<1-4094> VLAN ID of the native VLAN when this port js in 
trunking mode 
Sl(config-if)#switchport trunk native vlan 40 
Sl(config-if)# 人 ^Z 
将 中 继 端 口 的 本 地 VLAN 改 为 VLAN 40 后 ,使 用 命令 show running-cofig 查看 该 中 继 接口 的 
配置 : 
! 
interface FastEthernet0/1 
switchport trunk native vlan 40 
switchport trunk allowed vlan 1-3,9-4094 
switchport trunk pruning vian 3,4 
1 
别 忘 了 邻接 端口 需要 相互 配合 ! 你 不 会 认为 事情 会 如 此 简单 吧 ? 确实 不 会 如 此 简单 。 如 果 中 继 链 
路 两 端的 交换 机 端口 的 本 机 VLAN 不 同 ， 将 出 现 如 下 错误 : 


446 第 11 章 虚拟 局 域 网 


19:23:29: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch 
discovered on FastEthernet0/1 (40), with Core FastEthernet0/7 (1). 
19:24:29: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch 
. discovered on FastEthernet0/1 (40), with Core FastEthernet0/7 (1). 
这 是 清晰 而 有 帮助 的 错误 。 为 消除 这 种 错误 ， 要 么 修改 中 继 链 路 另 一 端的 本 机 VLAN， 要么 将 当 
前 端口 的 本 机 VLAN 恢复 到 默认 设置 。 这 里 采取 第 二 种 方式 : 


Si(config-if)#no switchport trunk native vlan 


这 样 ， 当 前 中 继 端口 将 把 VLAN 1 用 作 本 机 VLAN。 请 记 住 , 中 继 链 路 两 端的 本 机 VLAN 必须 相 
同 ， 否 则 将 导致 严重 问题 。 下 面 在 交换 型 网 络 中 添加 一 台 路 由 器 ， 并 配置 VLAN 间 通 信 。 


11.6.3 ”配置 VLAN 间 路 由 选择 


默认 情况 下 ， 只 有 属于 同一 个 VLAN 的 主机 才能 相互 通信 。 要 改变 这 种 状况 ， 人 允许 进行 VLAN 
间 通 信 ， 需 要 路 由 器 或 第 3 层 交 换 机 。 这 里 介绍 使 用 路 由 器 的 方式 。 

为 在 快速 以 太 网 接口 上 支持 ISL 或 802.1Q， 将 这 种 接口 分 成 了 多 个 逻辑 接口 一 每 个 VLAN 一 
个 。 这 些 逻 辑 接口 被 称 为 子 接口 。 

要 在 快速 以 太 网 接口 或 吉 比 特 以 太 网 接口 上 启用 中 继 ， 可 使 用 命令 encapsulation: 

ISR#config t 

ISRCconfig)#int f0/0.1 

ISR(config-subif)#encapsulation ? 

dot1Q IEEE 802.1Q Virtual LAN 
ISRCconfig-subif)#encapsulation dotlQ ? 
<1-4094> IEEE 802.1Q VLAN ID 

注意 到 笔者 的 2811 路 由 器 ( 名 为 ISR ) 只 支持 802.1Q。 要 使 用 ISL 封装 ， 需 要 购买 较 老 的 路 由 
器 ， 但 为 何 要 如 此 麻烦 呢 ? 

子 接口 号 只 有 逻辑 意义 ， 因 此 使 用 什么 样 的 编号 无 关 紧 要 。 由 于 子 接口 号 只 用 于 管理 目的 ， 笔 者 
在 大 多 数 情况 下 都 使 用 要 路 由 的 VLAN 的 编号 ， 这 将 方便 记忆 。 

每 个 VLAN 都 是 一 个 独立 的 子 网 ， 明 白 这 一 点 很 重要 。 最 好 将 VLAN 配置 为 独立 的 子 网 ， 虽 然 
并 非 必 须 这 样 。 

现在 ,需要 确保 你 为 配置 VLAN 间 路 由 选择 和 确定 主机 IP 地 址 作 好 了 充分 准备 。 与 往常 一 样 ， 
最 好 能 够 在 问题 出 现时 修复 它们 。 为 确保 你 成 功 ， 来 看 几 个 示例 。 

首先 , 请 看 图 11-9 并 阅读 其 中 的 路 由 器 和 交换 机 配置 。 学 习 到 本 书 的 这 部 分 内 容 , 你 应 该 能 够 指 
出 VLAN 中 所 有 主机 的 IP 地 址 、 掩 码 和 默认 网 关 了 。 

接 下 来 需要 确定 使 用 哪些 子 网 。 从 图 中 显示 的 路 由 器 配置 可 知 ,VLAN 1 使 用 子 网 192.168.1.64/26， 
而 VLAN 10 使 用 子 网 192.168.1.128/27。 从 交换 机 配置 可 知 ， 端 口 2 和 3 属于 VLAN 1， 而 端口 4 属 
于 VLAN 10。 这 意味 着 主机 A 和 B 属 于 VLAN 1， 而 主机 C 属 于 VLAN 10。 

主机 应 使 用 的 卫 地 址 如 下 。 

口 主机 A: IP 地 址 为 192.168.1.66 (255.255.255.192 ); 默认 网 关 192.168.1.65 

口 主机 B: 了 地 址 为 192.168.1.67 (255.255.255.192 ); 默认 网 关 为 192.168.1.65 
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口 主机 C: 耳 地 址 为 192.168.1.130 (255.255.255.224 ); 默认 网 关 为 192.168.1.129 


人 因特网 ， 


快速 以 太 网 接口 0/1.1 

封装 dotlg 1 

IP 地 址 192.168.1.65 255.255.255.192 
快速 以 太 网 接口 0/1.10 

封装 dot1q 10 

IP 地 址 192.168.1.129 255.255.255.224 


端口 1: dotl1q trunk 
、 端 口 3: VLAN1 


蕊 | 区 el 
主机 A 主机 B 主 


机 C 
图 11-9 VLAN 间 路 由 选择 配置 示例 1 

主机 可 使 用 正确 范围 内 的 任何 地 址 , 笔者 选择 的 是 默认 网 关 地 址 后 面 的 第 一 个 可 用 了 地 址 。 这 不 
太 难 ， 不 是 吗 ? 

现在 继续 以 图 11-9 为 例 ， 介绍 配置 交换 机 端口 1， 使 其 建立 一 条 到 路 由 器 的 链 路 ， 并 使 用 封装 方 
法 IEEE 802.1Q 支持 VLAN 间 通 信和 所 需 的 命令 。 别 忘 了 ， 根 据 使 用 的 交换 机 类 型 ， 所 需 的 命令 可 能 有 
细微 的 差别 。 

就 2960 交换 机 而 言 ， 使 用 如 下 命令 : 

2960#config t 

2960(config)#interface fa0/1 

2960(config-if)#switchport mode trunk 


我 们 知道 ，2960 交换 机 只 支持 封装 方法 802.1Q， 因 此 不 需要 指定 ， 也 无 法 指定 。 对 于 3560 交换 
机 ， 配 置 基本 相同 ， 但 由 于 它 支 持 ISL 和 802.1Q， 因 而 必须 指定 要 使 用 的 中 继 协议 。 


别 忘 了 ， 创 建 中 继 链 路 时 ， 默 认 情 况 下 所 有 VLAN 都 可 通过 它 传输 数据 。 


来 看 图 11-10， 看 看 从 中 能 学 到 什么 。 在 该 图 中 ， 有 3 个 VLAN， 而 每 个 VLAN 都 有 两 台 主 机 。 
在 图 11-10 中 ， 路 由 器 连接 的 是 交换 机 端口 fa0/1， 而 VLAN 2 连接 的 是 端口 fa0/6。 

思科 要 求 根据 该 示意 图 知道 如 下 几 点 : 

口 路 由 器 通过 子 接口 连接 到 交换 机 ; 

口 与 路 由 器 相连 的 交换 机 端口 为 中 继 端口 ; 

口 与 主机 和 集线器 相连 的 交换 机 端口 为 接 人 端口 ， 而 不 是 中 继 端 口 。 
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该 交换 机 的 配置 应 类 似 于 下 面 这 样 : 
2960#config t 

2960(config)#int f0/1 
2960(config-if)#switchport mode trunk 
2960(config-if)#int f0/2 
2960{(config-if)#switchport access vlan 1- 
2960(config-if)#int f0/3 
2960(config-if)#switchport access vlan 1 
2960(config-if)#int f0/4 
2960(config-if)#switchport access vlan 3 
2960(config-if)#int f0/5 
2960(config-if)#switchport access vlan 3 
2960(config-if)#int f0/6 
2960(config-if)#switchport access vlan 2 


VLAN]I 
主机 A ”主机 B 


a 


Fa0/2 Fa0/3 


主机 C ”主机 D 
VLAN3 


图 11-10 VLAN 间 路 由 选择 配置 示例 2 


配置 路 由 器 前 ， 需 要 设计 逻辑 网 络 。 
口 VLAN 1: 192.168.10.16/28 

口 VLAN 2: 192.168.10.32/28 

口 VLAN 3: 192.168.10.48/28 

路 由 器 的 配置 应 类 似 于 下 面 这 样 : 
ISR#config t 

ISR(config)#int Fa0/0 
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ISRCconfig-if)#no ip address 

ISRCconfig-if)#no shutdown 

ISRCconfig-if)#int f0/0.1 

ISRCconfig-subif)#encapsulation dotlq 1 

ISRCconfig-subif)#ip address 192.168.10.17 255.255.255.240 

ISRCConfig-subif)#int f0/0.2 

ISR(config-subif)#encapsulation dotlq 2 

ISR(config-subif)#ip address 192.168.10.33 255.255.255.240 

ISR(config-subif)#int f0/0.3 

ISRCconfig-subif)#encapsulation dotlq 3 

ISRCconfig-subif)#ip address 192.168.10.49 255.255.255.240 

对 于 每 个 VLAN 中 的 主机 , 都 需要 给 它们 分 配 相应 子 网 中 的 地 址 , 而 默认 网 关 为 相应 路 由 器 子 接 
口 的 IP 地址 。 

再 来 看 图 11-11, 看 看 你 能 否 在 不 参考 答案 的 情况 下 确定 交换 机 和 路 由 器 的 配置 一 一 可 不 要 作弊 ! 
在 该 图 中 ， 一 人 台 路 由 器 连接 到 了 有 两 个 VLAN 的 2960 交换 机 ， 对 于 每 个 VLAN， 都 给 其 中 的 一 台 主 
机 分 配 了 I 人 P 地 址 。 根 据 这 些 了 P 地 址 ， 如 何 配置 路 由 器 和 交换 机 呢 ? 


115 台 主 机 
主机 B 


局 


172.16.10.129 


图 11-11 VLAN 间 路 由 选择 配置 示例 3 


由 于 没有 指出 主机 使 用 的 子 网 掩 码 , 因而 必须 根据 每 个 VLAN 包含 的 主机 数 确 定 块 大 小 。VLAN 1 
有 85 台 主 机 , 而 VLAN 2 有 115 台 主 机 ， 它 们 要 求 的 块 大 小 都 是 128， 即 子 网 掩 码 为 /25 ( 255.255. 
255.128 )。 


你 应 该 知道 ， 它 们 应 分 别 使 用 子 网 0 和 128。 其 中 子 网 0 ( VLAN 1 ) 的 主机 地 址 范围 为 1 ~ 126， 
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而 子 网 128 ( VLAN 2 ) 的 主机 地 址 范围 为 129~254。 主 机 A 的 他 地 址 为 126， 这 使 它 看 起 来 像 是 与 
主机 B 属于 同一 个 子 网 。 但 实际 情况 并 非 如 此 ， 你 现在 很 聪明 了 ， 不 会 再 受 此 蒙蔽 了 。 
下 面 是 交换 机 的 配置 : 


2960#config t 

2960(config)#int f0/1 
2960(config-if)#switchport mode trunk 
2960(config-if)#int f0/2 
2960(config-if)#switchport access vlan 1 
2960(config-if)#int f0/3 
2960(config-if)#switchport access vlan 2 


下 面 是 路 由 器 的 配置 : 


ISR#config t 

ISRCconfig)#int f0/0 

ISRCconfig-if)#no ip address 

ISRCconfig-if)#no shutdown 

ISRCconfig-if)#int f0/0.1 

ISRCconfig-subif)#encapsuiation dotlq 1 
ISRCconfig-subif)#ip address 172.16.10.1 255.255.255.128 
ISRCconfig-subif)#int f0/0.2 
ISRCconfig-subif)#encapsulation dotlq 2 
ISR(config-subif)#ip address 172.16.10.254 255.255.255.128 


这 里 使 用 了 VLAN 1 的 主机 地 址 范围 内 的 第 一 个 地 址 以 及 VLAN 2 的 主机 地 址 范围 内 的 最 后 
一 个 地 址 , 但 使 用 相应 范围 内 的 任何 地 址 都 可 行 , 只 需 将 主机 的 默认 网 关 配 置 为 相应 的 路 由 器 地 址 
即 可 。 

介绍 下 一 个 示例 前 ,需要 确保 你 知道 如 何在 交换 机 上 设置 人 P 地 址 。 鉴 于 VLAN 1 通常 是 管理 
VLAN, 我 们 将 使 用 该 地 址 池 中 的 一 个 IP 地 址 。 下 面 的 示例 演示 了 如 何 设 置 交 换 机 的 IP 地 址 (我 不 
想 吗 唆 不 休 ， 但 你 应 该 确保 自己 知道 如 何 设置 ); 

2960#config 七 

2960(config)#int vlan 1 

2960(Cconfig-if)#ip address 172.16.10.2 255.255.255.128 

2960(config-if)#no shutdown 


在 VLAN 接口 上 ， 必 须 配 置 命令 no shutdown。 
下 面 再 介绍 一 个 例子 ， 然 后 讨论 VTP 绝对 需要 掌握 的 另 一 个 重要 主题 。 在 图 11-12 中 ， 有 两 


个 VLAN。 通 过 路 由 器 的 配置 可 知 ， 主 机 A 的 他 地 址 、 子 网 掩 码 和 默认 网 关 是 什么 呢 ? 请 将 相应 范 
围 内 的 最 后 一 个 地 址 用 于 主机 A。 
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Router#config 七 
Router(config)#int f0/0 
Router(config-if)#no ip address 
Router(Cconfig-if)#no shutdown 
Router(Cconfig-if)#int f0/0.1 
Router(config-subif)# encapsulation dotlq 1 
Router(config-subif)# ip address 192.168.10.129 255.255.255.240 
Router(config-subif)# int f0/0.2 

Router(config-subif)# encapsulation dot1q 2 
Router(config-subif)# ip address 192.168.10.46 255.255.255.240 


图 11-12 VLAN 间 路 由 选择 配置 示例 4 


如 果 仔 细 查 看 路 由 器 (在 这 里 ， 其 主机 名 为 Router ) 的 配置 ， 答 案 非常 简单 。 两 个 子 网 的 子 网 掩 
码 都 是 /28， 即 255.255.255.240， 因 此 块 大 小 为 6。 属 于 VLAN 1 的 路 由 器 子 接口 的 地 址 包含 在 子 网 
128 内 ， 下 一 个 子 网 为 144， 因 此 VLAN 1 的 广播 地 址 为 43， 所 以 合法 的 主机 地 址 范围 为 129 ~ 142。 
因此 主机 A 的 配置 如 下 所 示 。 

口 IP 地 址 : 192.168.10.142 

口子 网 掩 码 : 255.255.255.240 

口 默认 网 关 : 192.168.10.129 
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默认 情况 下 ， 所 有 思科 交换 机 都 被 配置 为 VTP 服务 器 。 要 配置 VITP， 首先 必须 配置 要 使 用 的 域 
名 。 当 然 ， 在 每 台 交 换 机 上 配置 VTP 信息 后 ， 都 需要 核实 。 

创建 VIP 域 时 ,可 设置 多 个 方面 , 包括 域名 、 密 码 、 运 行 模式 和 修剪 。 要 设置 这 些 信息 , 可 使 用 
全 局 配置 模式 命令 vtp。 在 下 面 的 示例 ( 它 针 对 的 是 图 10-14 所 示 的 网 络 ), 我 将 S1 交换 机 设置 为 VTP 
服务 器 、VTP 域名 设置 为 Lammle、VTP 密码 设置 为 todd: 

Sl#config t 

Si#(config)#vtp mode server 


192.168.10.17 


VLAN2 
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Device mode already VTP SERVER. 
SiCconfig)#vtp domain Lammle 

Changing VTP domain name from null to Lammle 
SLCconfig)#vtp password todd 

Setting device VLAN database password to todd 
Si(config)#do show vtp password 

VTP Password: todd 

Si(config)#do show vtp status 


VTP Version :2 

Configuration Revision : 0 

Maximum VLANS supported 1ocal1y : 255 

Number of existing VLANs : 8 

VTP Operating Mode : Server 

VTP Domain Name : Lammle 

VTP Pruning Mode : Disabled 

VIP V2 Mode : Disabled 

VTP Traps Generation : Disabled 

MD5 digest : 0x15 Ox54 Ox88 OxF2 Ox50 OxD9 0x03 Ox07 


Configuration last modified by 192.168.24.6 at 3-14-93 15:47:32 


Local updater ID is 192.168.24.6 on interface V11 (lowest numbered VLAN 
interface found) 


别 忘 了 ， 默认 情况 下 所 有 交换 机 都 被 设置 为 VTP 服务 器 , 要 在 交换 机 上 修改 并 分 发 VLAN 信 | 息 ， 
必须 让 它 处 于 VTP 服务 器 模式 。 配 置 VTP 信息 后 ， 可 使 用 命令 show vtp 进行 核实 ， 如 上 面 的 输出 
所 示 ， 其 中 显示 了 VTP 域名 、VTP 密码 和 VTP 模式 。 

介绍 VTP 配置 示例 前 ， 请 花 点 时 间 考 虑 这 样 一 点 : 命令 show vtp status 的 输出 表明 ， 本 地 支 
持 的 最 大 VLAN 数量 为 255。 鉴 于 可 在 交换 机 上 创建 1000 多 个 VLAN， 如 果 VLAN 超过 255 个 ， 且 
要 使 用 VTP， 这 看 起 来 绝对 是 个 问题 。 事 实 上 ， 这 确实 是 个 问题 : 如果 试图 在 交换 机 上 配置 第 256 个 
VLAN， 系 统 将 显示 错误 消息 ， 指出 没有 足够 的 硬件 资源 ， 然后 关闭 该 VLAN 一 一 命令 show vlan 的 
输出 显示 该 VLAN 处 于 挂 起 状态 。 这 不 太 好 ! 


命令 show vtp status 会 指出 交换 机 能 支持 多 少 个 VLAN， 请 牢记 这 一 点 。 


下 面 来 看 交换 机 Core 和 S2， 将 它们 加 入 VTP 域 Lammle。VTP 域名 是 区 分 大 小 写 的 ， 牢 记 这 一 
点 非常 重要 。VTP 非常 挑 昌 ， 细 小 的 错误 就 会 导致 它 不 工作 。 

Core#config t 

Core(config)#vtp mode client 

Setting device to VTP CLIENT mode. 

Core(config)#vtp domain Lammle 

Changing VTP domain name from null to Lammle 
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Core(config)#vtp password todd 
Setting device VLAN database password to todd 
Core(config)#do show vtp status 


VTP Version pa 4 

Configuration Revision :0 

Maximum VLANs supported locally : 1005 

Number of existing VLANs 5 

VTP Operating Mode : Server 

VTP Domain Name : Lammle 

VTP Pruning Mode : Disabled 

VTP V2 Mode : Disabled 

VTP Traps Generation : Disabled 

MD5 digest : Ox2A Ox6B 0x22 0x17 Ox04 Ox4F OxB8 0xC2 


Configuration last modified by 192.168.10.19 at 3-1-93 03:13:16 

Local updater ID is 192.168.24.7 on interface V11 (first interface found) 
S2#config t 

S2(config)#vtp mode client 

Setting device to VTP CLIENT mode. 

S2(config)#vtp domain Lammle 

Changing VTP domain name from null to Lammle 

S2(config)#vtp password todd 

Setting device VLAN database password to todd 

S2(config)#do show vtp status 


VTP Version 2 2 

Configuration Revision :0 

Maximum VLANs supported locally : 1005 

Number of existing VLANs 3 5 

VTP Operating Mode : Client 

VTP Domain Name : Lammle 

VTP Pruning Mode : Disabled 

VTP V2 Mode : Disabled 

VTP Traps Generation : Disabled 

MD5 digest : Ox02 Ox1] Ox18 Ox4B Ox36 OxC5 OxF4 0x1LF 


Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00 


所 有 交换 机 都 位 于 同一 个 VTP 域 且 使 用 相同 的 密码 后 , 前 面 在 交换 机 S1 上 创建 的 VLAN 将 被 通 
告 给 处 于 VTP 客户 端 模式 的 交换 机 Core 和 S2。 下 面 在 交换 机 Core 和 S2 上 使 用 命令 show vlan brief 
来 验证 这 一 点 : 

Core#sh vlan brief 

VLAN Name . Status Ports 
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1 default active Fa0/1, Fa0/2,Fa0/3,Fa0/4 
Fa0/9,Fa0/10,Fa0/11,Fa0/12 
Fa0/13,Fa0/14,Fa0/15, 
Fa0/1i6,Fa0/17, Fa0/18, Fa0/19, 
Fa0/20,Fa0/21, Fa0/22, Fa0/23, 
Fa0/24, Gi0/1, Gi0/2 


2 Sales active 
3 Marketing active 
4 Accounting active 


Loutput cut] 


S2#sh vlan bri 


VEAN Name Status Ports 

1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6 
Fa0/7, Fa0/8, Gi0/1 

2 Sales active 

3 Marketing active 

4 Accounting active 


foutput cut] 


本 章 前 面 在 交换 机 S1( 2960 ) 上 创建 的 VLAN 数据 库 通过 VTP 通告 传递 给 了 交换 机 Core 和 S2。 
为 确保 VLAN 名 称 在 整个 交换 型 网 络 中 一 致 ，VTP 是 一 种 很 好 的 工具 。 现 在 可 以 将 交换 机 Core、S1 
和 S2 的 端口 分 配给 VLAN 了 ， 然 后 同一 个 VLAN 中 的 主机 就 能 通过 交换 机 之 间 的 中 继 链 路 相互 通 
信 了 。 


必须 知道 如 何 指定 VTP 域 名 、 将 交换 机 设置 为 VTP 服 务 器 模式 以 及 创建 VLAN! 


注意 


11.7.1 排除 VTP 故障 


使 用 交叉 电缆 将 交换 机 连接 起 来 ， 两 端的 指示 灯 都 变 绿 后 ， 就 大 功 告 成 了 。 这 是 理想 状况 ， 真 有 
这 么 容易 吗 ? 在 没有 使 用 VLAN 的 情况 下 ， 确 实 有 这 么 容易 。 但 如 果 在 交换 型 网 络 中 使 用 了 VLAN 
〈 绝 对 应 该 这 样 做 )， 且 有 多 个 VLAN， 则 需要 使 用 VTP。 

然而 ， 如 果 VTP 配置 不 正确 ， 它 将 不 能 工作 ， 因 此 你 必须 能 够 排除 VTP 故障 。 下 面 来 看 两 个 配 
置 ， 并 解决 其 中 的 问题 。 请 看 下 述 来 自 两 台 交换 机 的 输出 : 

SwitchA#sh vtp status 

VTP Version 2 

Configuration Revision . 

Maximum VLANs supported locally : 64 


Number of existing VLANs 
VTP Operating Mode 

VTP Domain Name 

VTP Pruning Mode 

VTP V2 Mode 

VTP Traps Generation 


SwitchB#sh vtp status 
VTP Version 
Configuration Revision 


Maximum VLANs supported locally : 
和 这 

: Server 

: GlobalNet 

: Disabled | 
: Disabled 

: Disabled 


Number of existing VLANs 
VTP Operating Mode 

VTP Domain Name 

VTP Pruning Mode 

VTP V2 Mode 

VTP Traps Generation 
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J 

: Server 

: RouterSim 
: Disabled 
: Disabled 
: Disabled 


64 
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这 两 台 交 换 机 有 何 问题 呢 ? 为 何 它们 没有 共享 VLAN 信息 ?这 两 台 交 换 机 都 处 于 VTP 服务 器 模 
式 , 但 这 不 是 问题 ， 都 处 于 VTP 服务 器 模式 的 交换 机 也 能 通过 VTP 分 享 VLAN 信息 。 问 题 在 于 它们 
位 于 两 个 不 同 的 VTP 域 : 交换 机 A 位 于 VTP 域 RouterSim 中 ,而 交换 机 B 位 于 VTP 域 GlobalNet 中 。 
它们 不 可 能 共享 VTP 信息 ， 因 为 给 它们 配置 的 VTP 域名 不 同 。 

知道 如 何 找 出 交换 机 常见 的 VTP 域 配置 错误 后 ， 来 看 另 一 个 交换 机 配置 : 


SwitchC#sh vtp status 


VTP Version 
Configuration Revision 


Maximum VLANs supported locally : 
> 

; Client 

: Todd 

; Disabled 
: Disabled 


Number of existing VLANs 
VTP Operating Mode 

VTP Domain Name 

VTP Pruning Mode 

VTP V2 Mode 

VTP Traps Generation 


64 


Disabled 


如 果 在 交换 机 C 上 新 建 一 个 VLAN， 会 遇 到 什么 麻烦 呢 ? 出 现 令 人 讨厌 的 错误 ! 为 何不 能 在 交换 
机 C 上 创建 VLAN 呢 ? 在 这 个 示例 中 ，VTP 域名 不 是 考虑 重点 ， 重 点 是 VTP 模式 。 该 交换 机 的 VTP 
模式 为 客户 端 , 而 在 这 种 模式 下 ,不 能 创建 、 删 除 或 修改 VLAN。VTP 客户 端 只 将 VLAN 数据 库 放 在 
内 存 中 , 而 不 将 其 保存 到 NVRAM 中 。 因 此 , 要 在 这 人 台 交 换 机 上 创建 VLAN, 必须 先 将 其 设置 为 VTP 


服务 器 模式 。 


下 面 是 在 上 述 VTP 配置 下 创建 VLAN 时 出 现 的 情况 : 


SwitchCCconfig)#v1an 50 


VTP VLAN configuration not allowed when device is in CLIENT mode. 
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为 修复 这 种 问题 ， 需 要 这 样 做 : 
SwitchCCconfig)#vtp mode server 
Setting device to VTP SERVER mode 
SwitchC(config)#vlan 50 
SwitchC(config-vlan)# 


且慢 ， 事 情 还 没有 完 。 来 看 看 另外 两 台 路 由 器 的 输出 ， 为 何 交换 机 B 没有 从 交换 机 A 那里 获取 


VLAN 信息 呢 ? 
SwitchA#sh vtp status 
VTP Version :2 
Configuration Revision : 4 
Maximum VLANs supported locally : 64 
Number of existing VLANs :7 
VTP Operating Mode : Server 
VTP Domain Name : GlobalNet 
VIP Pruning Mode : Disabled 
VTP V2 Mode : Disabled 
VTP Traps Generation : Disabled 


SwitchB#sh vtp status 


VTP Version 六 之 
Configuration Revision : 14 
Maximum VLANs supported locally : 64 
Number of existing VLANs :2 

VTP Operating Mode : Server 
VTP Domain Name : GlobalNet 
VTP Pruning Mode : Disabled 
VTP V2 Mode : Disabled 
VTP Traps Generation : Disabled 


你 可 能 会 说 ， 因 为 它们 都 处 于 VTP 服务 器 模式 ,但 这 不 是 问题 。 即 使 所 有 交换 机 都 处 于 VTP 服 
务 器 模式 ,它们 仍 能 共享 VLAN 信息 。 事 实 上 ， 思 科 建 议 让 所 有 交换 机 都 处 于 VTP 服务 器 模式 ， 而 
你 只 需 确保 通告 VTP VLAN 信息 的 交换 机 有 最 大 的 修订 号 即 可 。 如 果 所 有 交换 机 都 处 于 VTP 服务 器 
模式 ， 它 们 都 将 保存 VLAN 数据 库 。 交 换 机 B 之 所 以 没有 收 到 交换 机 A 的 VLAN 信息 ， 是 因为 它 的 
修订 号 更 大 。 必 须 能 够 认识 到 这 种 问题 ， 这 非常 重要 。 

要 解决 这 种 问题 ， 有 两 种 方式 。 一 是 在 交换 机 B 上 修改 VTP 域名 ， 再 将 域名 改 回 到 GlobalNet， 
这 会 把 修订 号 重 置 为 0。 二 是 在 交换 机 A 上 创建 或 删除 VLAN , 直到 其 修订 号 大 于 交换 机 B 的 修订 号 。 
第 二 种 方式 谈 不 上 更 好 ， 而 只 是 另 一 种 修复 问题 的 方式 。 


11.7.2 VLAN 数据 库 来 自 何 方 


最 后 必须 要 和 弄 清楚 的 一 点 是 ， 交 换 机 从 哪里 获取 VLAN 数据 库 。 如 果 在 交换 机 上 执行 命令 show 
vlan 时 显示 了 一 个 VLAN 数据 库 ， 请 问 VLAN 数据 库 是 从 闪存 中 的 文件 vlan.dat 读 取 的 吗 ? 如 果 该 
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交换 机 处 于 服务 器 模式 ， 且 其 修订 号 在 网 络 的 所 有 服务 器 中 最 大 ， 则 答案 是 肯 定 的 。 然 而 ， 可 使 用 命 
令 show vtp status 准确 地 获悉 VLAN 数据 库 来 自 何 方 : 


Core#do show vtp status 


VTP Version 全 ,这 

Configuration Revision : 0 

Maximum VLANS Supported locally : 1005 

Number of existing VLANs 05 

VTP Operating Mode : Client 

VTP Domain Name : Lammle 

VTP Pruning Mode : Disabled 

VTP V2 Mode : Disabled 

VTP Traps Generation : Disabled : 

MD5 digest : Ox02 0x11L Ox18 Ox4B Ox36 OxC5 OxF4 OxIF 


Local updater ID is 192.168.24.7 on interface V1Il (first interface found) 

最 后 一 行 输出 指出 了 VLAN 数据 库 来 自 何 方 。 如 果 当 前 交换 机 的 管理 IP 地 址 为 192.168.24.7， 则 
说 明 数 据 库 来 自 vian.dat; 如 果 不 是 , 可 执行 命令 show cpd neighbors detai1, 以 获悉 192.168.24.7 
指 的 是 哪 台 交 换 机 。 
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如 果 你 在 紧张 时 做 瑜伽 、 冥 想 、 一 根 按 一 根 地 抽烟 或 吃 大 量 更 心 美食 ， 请 现在 就 休息 一 会 儿 并 这 
样 做 ， 因 为 坦率 地 说 ， 本 节 的 内 容 是 本 章 (甚至 本 书 ) 中 比较 难 的 。 但 我 发 誓 将 尽 最 大 努力 让 其 尽 可 
能 容易 理解 。 

语音 VLAN 功能 让 接 人 端口 能 够 传输 来 自 卫 电话 的 语音 数据 流 。 思 科 IP 电话 与 交换 机 相连 时 ， 
它 将 在 发 送 的 语音 数据 流 中 指定 第 3 层 全 优先 级 和 第 2 层 服务 类 别 (CoS ) 值 ; 对 语音 来 说 ， 这 两 个 
值 都 为 5， 而 对 其 他 数据 流 来 说 ， 默 认为 0。 

如 果 数 据 传输 不 均匀 ，IP 电话 的 声音 质量 将 降低 ， 因 此 交换 机 支持 基于 IEEE 802.1p Cog 的 服务 
质量 (QoS )。802.1p 提供 了 一 种 在 数据 链 路 层 实现 QoS 的 机 制 , 在 802.1Q 中 继 报 头 中 , 包含 了 802.1p 
字段 的 信息 。 查 看 802.1Q 标记 中 的 字段 ， 会 看 到 一 个 名 为 “优先 级 ”的 字段 ， 其 中 包含 802.1p 信息 。 
QoS 利用 分 类 和 调度 以 组 织 有 序 和 可 预测 的 方式 发 送 来 自 交 换 机 的 网 络 流量 。 

思科 全 电话 是 一 种 可 配置 的 设备 ， 可 对 其 进行 配置 ， 使 其 在 发 送 的 数据 流 中 包含 IEEE 802.1p 优 
先 级 。 还 可 配置 交换 机 ， 使 其 信任 或 覆盖 IP 电话 指定 的 优先 级 一 这 正 是 我 们 要 做 的 。 思 科 他 电话 
基本 上 是 一 台 三 端口 交换 机 : 一 个 连接 到 思科 交换 机 ， 一 个 连接 到 PC， 还 有 一 个 端口 位 于 内 部 ， 连 
接 的 是 电话 本 身 。 

对 于 与 思科 人 P 电话 相连 的 接 人 端口 ， 可 对 其 进行 配置 ,使 其 将 一 个 VLAN 用 于 语音 数据 流 ， 并 将 
另 一 个 VLAN 用 于 与 电话 相连 的 设备 (如 PC ) 的 数据 流 。 可 对 交换 机 的 接 和 端口 进行 配置 ,使 其 发 送 
思科 发 现 协 议 ( CDP ) 分 组 ,命令 相连 的 思科 下 电话 以 下 述 方式 之 一 将 语音 数据 流 发 送 给 交换 机 .: 

口 通过 语音 VLAN 发 送 ， 并 添加 一 个 第 2 层 CosS 优先 级 值 ; 

口 通过 接 人 VLAN 发 送 ， 并 添加 一 个 第 2 层 CogS 优先 级 值 ; 

口 通过 接 入 VLAN 发 送 ， 但 不 添加 第 2 层 CogS 优先 级 值 。 
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交换 机 还 能 够 处 理 来 自 与 思科 下 电话 的 接 人 端口 连接 的 设备 且 经 过 标记 的 数据 流 〈 帧 类 型 为 
IEEE 802.1Q 或 IEEE 802.1p 的 数据 流 )。 你 可 对 交换 机 的 第 2 层 接 人 端口 进行 配置 ， 使 其 发 送 CDP 分 
组 ,命令 思科 JP 电话 将 其 连接 到 PC 的 接 人 端口 设置 为 下 述 模式 之 一 。 

口 信任 模式 : 对 于 通过 连接 到 PC 的 接 人 端口 收 到 数据 流 ， 思 科 IP 电话 不 对 其 作 任 何 修改 ， 让 
其 直接 通过 。 

口 不 信任 模式 : 对 于 通过 连接 到 PC 的 接 人 端口 收 到 的 IEEE 802.1Q 或 IEEE 802.1p 帧 ， 了 电话 
都 给 它们 加 上 配置 的 第 2 层 CoS 值 (默认 为 0 )。 不 信任 模式 是 默认 设置 。 


11.8.1 配置 语音 VLAN 


默认 情况 下 , 语音 VLAN 功能 被 禁用 ; 要 启用 它 , 可 使 用 接口 配置 命令 switchport voice vlan。 
启用 语音 VLAN 功能 后 ， 发 送 未 标记 的 数据 流 时 ， 都 将 使 用 端口 的 默认 CoS 优先 级 ， 而 IEEE 802.1Q 
或 IEEE 802.1p 数据 流 的 CoS 值 不 被 信任 。 
下 面 是 语音 VLAN 配置 指南 。 
口 只 能 在 交换 机 的 接 人 端口 上 配置 语音 VLAN; 中 继 端 口 不 支持 语音 VLAN， 不 过 ， 你 自己 可 
以 配置 。 
口 为 让 IP 电话 能 够 正确 地 通信 ， 必 须 在 交换 机 上 配置 并 激活 语音 VLAN。 要 查看 是 否 有 语音 
VLAN， 可 使 用 特权 EXEC 命令 show v1lan 一 一 如 果 有 ， 将 显示 在 该 命令 的 输出 中 。 
口 启用 语音 VLAN 之 前 ， 建 议 在 交换 机 上 使 用 全 局 配置 命令 .m1s qos 启用 QoS， 并 使 用 接口 配 
置 命令 m1s qos trust cos 将 端口 的 信任 状态 设置 为 trust。 | 
口 必须 在 思科 IP 电话 连接 的 交换 机 端口 上 启用 CDP， 以 便 发 送 配置 。CDP 默认 被 启用 ， 因 此 除 
非 被 禁用 ， 否 则 不 会 有 问题 。 
口 配置 语音 VLAN 后 ， 将 自动 启用 PortFast， 但 禁用 语音 VLAN 后 ，PortFast 并 不 会 自动 禁用 。 
口 要 将 端口 恢复 到 默认 设置 ， 可 使 用 接口 配置 命令 no switchport voice vlan。 


11.8.2 ”配置 IP 电话 发 送 语音 数据 流 的 方式 


可 配置 与 思科 IP 电话 相连 的 交换 机 端口 ,使 其 向 IP 电话 发 送 CDP 分 组 ， 以 配置 电话 发 送 语音 
据 流 的 方式 。 电 话 可 以 IEEE 802.1Q 帧 的 方式 发 送 语音 数据 流 ， 并 在 其 中 包含 第 2 层 CoS 值 ; 可 使 用 
IEEE 802.1p 优先 级 标记 赋予 语音 更 高 的 优先 级 ， 也 可 通过 接 人 VLAN 而 不 是 本 机 VLAN 传输 所 有 语 
音 。IP da VLAN 发 送 未 标记 的 语音 数据 流 , 或 使 用 自己 的 配置 来 发 送 语音 数据 流 。 在 
上 述 所 有 情况 下 ， 语音 数 据 流 都 包含 第 3 层 下 优先 级 值 ; 对 语音 来 说 ， 这 通常 被 设置 为 5。 

现在 该 让 放款 全 让 你 对 此 有 清晰 的 认识 了 。 下 面 的 示例 演示 了 如 何 配置 4 个 方面 : 

(1) 如 何 配置 与 IP 电话 相连 的 端口 ， 使 其 使 用 CoS 值 对 到 来 的 数据 流 进行 分 类 ; 

(2) 如 何 配 置 该 端口 ， 使 其 使 用 IEEE 802.1p 优先 级 标记 语音 数据 流 ; 

(3) 如 何 配 置 该 端口 ， 使 其 使 用 语音 VLAN (10 ) 来 传输 所 有 语音 数据 流 ; 

(4) 最 后 ， 如 何 配置 VLAN 3， 以 传输 PC 数据 。 

Switch#Cconfigure 七 

SwitchCconfig)#m1s qos 
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SwitchCconfig)#interface f0/1 
Switch(config-if)#switchport priority extend ? 
COS Override 802.1p priority of devices on appliance 
trust Trust 802.1p priorities of devices on appliance 
SwitchCconfig-if)#Sswitchport priority extend trust 
SwitchCconfig-if)#m1s qos trust Cos 
SwitchCconfig-if)#switchport voice vlan dotlp 
SwitchCconfig-if)#switchport mode access 
SwitchCconfig-if)#switchport access vlan 3 
Switch(Cconfig-if)#switchport voice vlan 10 
命令 mls qos trust cos 让 接口 使 用 分 组 中 的 CoS 值 对 到 来 的 数据 流 进行 分 类 。 对 于 未 标记 的 
分 组 ， 使 用 端口 的 默认 CoS 值 。 但 配置 端口 的 信任 状态 前 ， 必 须 使 用 全 局 配置 命令 m1s qos 在 交换 
机 上 启用 QoS。 
注意 到 我 将 同一 个 端口 分 配给 了 两 个 VLAN, 仅 当 其 中 一 个 为 数据 VLAN ,而 另 一 个 为 语音 VLAN 
时 才能 这 样 做 。 
本 节 的 内 容 可 能 是 本 书 最 难 的 ， 坦 率 地 说 ， 这 里 演示 的 配置 是 最 简单 的 。 


11.9 “小结 


本 章 介绍 了 虚拟 LAN， 描 述 了 思科 交换 机 如 何 使 用 它们 。 讨 论 了 VLAN 如 何 分 割 交 换 型 互联 网 络 
中 的 广播 域 一 一 这 非常 重要 且 是 必须 的 ， 因 为 默认 情况 下 ,第 2 层 交 换 机 只 分 割 冲突 域 ， 所 有 交换 机 组 
成 一 个 大 型 广播 域 . 笔 者 还 介绍 了 接 人 链 路 , 并 讨论 了 如 何 让 VLAN 跨越 快速 以 太 网 和 速度 更 快 的 链 路 。 

如 果 组 建 的 网 络 包含 多 台 交 换 机 和 多 个 VLAN， 必 须 对 中 继 技 术 有 深入 认识 ， 这 非常 重要 。 本 章 
详细 介绍 了 VLAN 中 继 协 议 ( VTP )， 这 种 协议 实际 上 与 中 继 毫 无 关系 。 我 们 知道 ， 它 通过 中 继 链 路 
发 送 VLAN 信息 ， 但 中 继 配置 本 身 并 非 VTP 的 组 成 部 分 。 

本 章 还 提供 了 重要 的 配置 和 故障 排除 示例 ， 这 些 示 例 涉及 VTP、 中 继 和 VLAN 配置 。 

最 后 ,介绍 了 令 你 感到 痛苦 的 语音 VLAN。 你 可 能 想 将 这 些 内 容 抛 之 脑 后 ， 但 要 获得 成 功 ， 必 须 
掌握 它们 ， 即 便 是 重新 来 过 你 也 要 确保 自己 能 够 完全 掌握 这 些 知 识 。 


11.10 ”考试 要 点 


理解 术语 帧 标记 。 帧 标记 指 的 是 VLAN 标识 ,交换机 使 用 它 来 跟踪 所 有 穿越 交换 构造 的 帧 ,并 使 
用 它 来 确定 帧 所 属 的 VLAN。 

理解 VLAN 标识 方法 ISL。 交 换 机 间 链 路 (ISL ) 是 一 种 在 以 太 网 帧 中 显 式 地 标记 VLAN 信息 的 
方式 。 这 种 标记 信息 让 你 能 够 利用 外 部 封装 方法 , 将 VLAN 多 路 复 用 到 中 继 链 路 ， 并 让 交换 机 能 够 确 
定 帧 所 属 的 VLAN。ISL 是 思科 专用 的 帧 标记 方法 ， 只 能 用 于 思科 交换 机 和 路 由 器 。 

理解 VLAN 标识 方法 802.1Q。 这 是 IEEE 制定 的 标准 帧 标记 方法 。 在 思科 交换 机 和 其 他 品牌 的 交 
换 机 之 间 中 继 时 ， 必 须 使 用 802.1Q。 

牢记 如 何 将 2960 交换 机 的 端口 设置 为 中 继 端 口 。 在 2960 交换 机 中 ， 要 将 端口 设置 为 中 继 端 口 ， 
可 使 用 命令 switchport mode trunk。 
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将 主机 连接 到 交换 机 端口 时 ， 别 忘 了 查看 端口 所 属 的 VLAN。 将 主机 连接 到 交换 机 端口 时 ， 务 必 
核实 该 端口 所 属 的 VLAN。 如 果 端 口 所 属 的 VLAN 与 主机 要 求 的 不 一 致 , 主机 将 无 法 访问 所 需 的 网 络 
服务 ， 如 工作 组 服务 器 。 

理解 VTP 的 用 途 和 配置 。VTP 用 于 将 VLAN 数据 库 传 遍 整个 交换 型 网 络 。 要 彼此 交换 这 种 信息 ， 
交换 机 必须 位 于 同一 个 VTP 域 。 

牢记 如 何 创建 思科 “ 单 臂 路 由 器 ”以 提供 VLAN 间 通 信 。 可 使 用 思科 路 由 器 的 一 个 快速 以 太 网 接 
口 或 吉 比 特 以 太 网 接口 来 提供 VLAN 间 路 由 选择 。 连 接 到 路 由 器 的 交换 机 端口 必须 是 中 继 端 口 ; 此 外 ， 
必须 在 该 路 由 器 端口 上 为 每 个 VLAN 创建 一 个 虚拟 接口 〈 子 接口 )， 每 个 VLAN 中 的 主机 都 将 相应 子 
接口 的 地 址 作为 默认 网 关 地 址 。 


11.11 书面 实验 11 


请 回答 下 述 问题 。 

(1) 处 于 哪 种 VTP 模式 时 ， 交 换 机 只 能 接受 VLAN 信息 ， 而 不 能 修改 它 ? 

(2) 要 获悉 VLAN 数据 库 来 自 何方 ， 可 使 用 哪个 命令 ? 

(3) VLAN 分 割 域 。 

(4) 默认 情况 下 ， 交 换 机 只 分 割 ” __ 域 。 

(5) 交换 机 默认 处 于 哪 种 VTP 模式 ? 

(6) 中 继 提 供 了 什么 功能 ? 

(7) 什么 是 帧 标记 ? 

(8) 判断 对 错 : 将 帧 转发 到 接 人 链 路 前 ， 将 剥 除 ISL 封装 。 

(9) 哪 种 端口 只 能 属于 一 个 VLAN? 

(10) 哪 种 类 型 的 思科 标记 信息 让 你 能 够 利用 外 部 封装 方法 将 多 个 VLAN 的 数据 流 复 用 到 同一 条 
中 继 链 路 ? 

( 该 书面 实验 的 答案 见 本 章 复习 题 答案 的 后 面 。) 


11.12 复习 题 


_a 下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 


注意 信息， 请 参阅 本 书 的 前 言 。 


《D 下 面 哪 种 有 关 VLAN 的 说 法 是 正确 的 ? 
A. 在 每 个 思科 交换 型 网 络 中 ， 必 须 至 少 定义 两 个 VLAN 
B. 所 有 VLAN 都 是 在 速度 最 快 的 交换 机 上 配置 的 ,上 默认 情况 下 , 这 些 信息 将 传播 到 其 他 所 有 交换 机 
C. 单个 VTP 域 包含 的 交换 机 不 应 超过 10 台 
D. VTP 用 于 将 VLAN 信息 发 送 到 当前 VTP 域 中 的 交换 机 
(2) 下 述 示意 图 中 有 关 路 由 器 端口 和 交换 机 端口 配置 的 说 法 中 ， 哪 3 项 是 正确 的 。 
A. 该 路 由 器 的 WAN 端口 被 配置 为 中 继 端口 
B. 在 连接 到 交换 机 的 路 由 器 端口 上 ， 配 置 了 多 个 子 接口 
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C. 连接 到 交换 册 的 路 由 器 端口 的 速度 被 配置 为 10 Mbit/s 
D. 连接 到 集线器 的 交换 机 端口 被 配置 为 全 双 工 模式 

E. 连接 到 路 由 器 的 交换 机 端口 被 配置 为 中 继 端口 

F. 连接 到 主机 的 交换 机 端口 被 配置 为 接 人 端口 


VLANI1 
主机 A ”主机 B 


国 国 


Fa0/4 Fa0/5 


[Dd 
[时 
晶 图 
主机 C 主机 D 
VLAN3 


(3) 在 一 台 交 换 机 上 配置 了 3 个 VLAN: VLAN 2、VLAN 3 和 VLAN 4; 并 添加 了 一 台 路 由 器 ， 用 于 提 
供 VLAN 间 通 信 。 如 果 交 换 机 和 路 由 器 之 间 只 有 一 条 连接 ， 则 与 交换 机 相连 的 路 由 器 接口 最 起 码 必 须 是 什 
么 类 型 的 ? 


A. 10 Mbit/s 以 太 网 接口 B. 56 Kbit/s 串 行 接口 
C. 100 Mbit/s 以 太 网 接口 D. 1 Gbits 以 太 网 接口 
(4) 要 提高 主机 的 可 用 带宽 和 限制 广播 域 的 规模 ， 以 改善 网 络 性 能 ， 可 采取 下 面 哪 种 方式 ? 
A. 使 用 受 控 的 集线器 B. 使 用 网 桥 C. 使 用 交换 机 D. 使 用 交换 机 并 配置 VLAN 
(5) 下 面 哪 两 种 协议 可 用 于 在 交换 机 上 配置 中 继 ? 
A. VLAN 中 继 协议 B. VLAN C. 802.1Q D. ISL 


(6) 在 基于 IOS 的 交换 机 上 配置 中 继 链 路 后 ， 哪 些 VLAN 可 通过 该 链 路 传输 数据 流 ? 
A. 默认 情况 下 ， 所 有 VLAN 的 数据 流 都 可 通过 中 继 链 路 进行 传输 
B. 任何 VLAN 都 不 能 ; 必须 手工 指定 可 通过 它 传输 数据 流 的 每 个 VLAN 
C. 只 有 配置 的 VLAN 可 以 
D. 默认 只 有 扩展 VLAN 可 以 
(7) 下 面 哪 种 交换 技术 可 缩小 广播 域 的 规模 ? 


A. ISL B. 802.1Q C. VLAN D. STP 
(8) 哪 种 VTP 模式 让 你 能 够 在 交换 机 上 修改 VLAN 信息 ? 
A. 客户 端 模式 B. STP 模式 C. 服务 器 模式 D. 802.1q 模 式 


(9) 要 配置 交换 机 端口 ， 使 其 使 用 IEEE 标准 方法 将 VLAN 成 员 资格 信息 插入 到 以 太 网 帧 中 ， 可 使 用 下 
面 哪个 命令 ? 
A. SwitchCconfig)#switchport trunk encapsulation iis] 
B. Switch (config)#switchport trunk encapsulation ietf 
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C. SwitchCconfig)#switchport trunk encapsulation dotlq 。 
D. Switch(Cconfig-if)#Sswitchport trunk encapsulation is] 
E. Switch(Cconfig-if)#switchport trunk encapsulation ietf 
F. Switch(config-if)#switchport trunk encapsulation dotlq 
(10) 下 面 哪 种 有 关 VTP 的 说 法 是 正确 的 ? 
A. 默认 情况 下 ， 所 有 交换 机 都 处 于 VTP 服务 器 模式 
B. 默认 情况 下 ， 所 有 交换 机 都 处 于 VTP 透明 模式 
C. 默认 情况 下 ， 在 所 有 域名 为 Cisco 的 所 有 思科 交换 机 上 都 启用 了 VTP 
D. 默认 情况 下 ， 所 有 交换 机 都 处 于 VTP 客户 端 模式 


(11) 下 面 哪 种 协议 将 新 VLAN 的 配置 发 布 到 域 中 所 有 的 交换 机 ， 从 而 降低 交换 型 网 络 的 管理 负担 ? 


A.STP B. VTP C.DHCP D. ISL 
(12) 要 将 2960 交换 机 的 端口 设置 为 中 继 端 口 ， 可 使 用 下 面 哪个 命令 ? 

A. trunk on B.trunk al11 

C. Switchport trunk on D. switchport mode trunk 
(13) 下 面 哪 项 是 IEEE 帧 标记 标准 ? 

A.ISL B. 802.3Z C. 802.1Q D. 802.3U 


(14) 将 一 台 主 机 连接 到 交换 机 端口 后 ， 主 机 却 无 法 登录 与 该 交换 机 相连 的 服务 器 ， 请 问 最 可 能 的 问题 
是 什么 ? 
A. 没有 针对 该 主机 配置 路 由 器 
B. 交换 机 的 VTP 配置 没有 随 该 主机 的 加 入 而 更 新 
C. 该 主机 的 MAC 地 址 非法 
D. 没有 将 主机 连接 到 的 交换 机 端口 分 配给 正确 的 VLAN 
(15) 要 对 下 述 示意 图 中 路 由 器 的 快速 以 太 网 接口 进行 配置 ， 以 建立 一 条 使 用 IEEE 802.1Q 帧 标记 的 链 
路 ， 可 使 用 哪 3 个 命令 ? 


(am 


快速 以 太 网 接口 0/1.1 

封装 dot1q 1 

IP 地 址 192.168.1.65 255.255.255.192 
快速 以 太 网 接口 0/1.10 

封装 dotlq 10 

IP 地 址 192.168.1.129 255.255.255.224 


主机 A 机 主机 C 
A. SwitchCconfig)#interface fastethernet 0/1 
B. Switch(config-if)#switchport mode access 
C. Switch(config-if)#switchport mode trunk 
D. SwitchCconfig-if)#switchport access vlan 1 
E. Switch(config-if)#switchport trunk encapsulation is] 
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F. SwitchCconfig-if)#switchport trunk encapsulation dotilq 
(16) 有 两 台 交 换 机 不 能 共享 VLAN 信息 ， 从 下 述 输出 可 知 ， 其 原因 是 什么 ? 


SwitchA#sh vtp status 


VTP Version :2 
Configuration Revision :0 
Maximum VLANs supported locally : 64 

Number of existing VLANs :7 

VTP Operating Mode : Server 
VTP Domain Name : RouterSim 
VTP Pruning Mode : Disabled 


SwitchB#sh vtp status 
VTP Version :2 
Configuration Revision : 
Maximum VLANs supported locally : 
Number of existing VLANs 
A. 需要 将 其 中 一 台 交 换 机 配置 成 使 用 人 1 版 
B. 两 台 交 换 机 都 处 于 VTP 服务 器 模式 ， 必 须 将 其 中 一 台 设 置 为 客户 端 模式 
C. VTP 域名 配置 得 不 正确 
D. 禁 用 了 VTP 修剪 
(17) 下 面 ee ee 间 通 信 ? 
A.ISL C. 802.1Q D. 802.3Z 
(18) 要 配置 VLAN 中 继 协议 ， 以 便 在 两 台 交换 机 之 间 交 按 VLAN 信息 ， 必 须 满足 下 面 哪 两 个 条 件 ? 
A. 中 继 链 路 两 端 都 必须 将 封装 方法 设置 为 IEEE 802.1e 
B. 两 台 交 换 机 的 VTP 管理 域名 必须 相同 
C. 必须 将 两 台 交 换 机 的 所 有 端口 都 设置 为 接 人 端口 
D. 必须 将 其 中 一 台 交换 机 配置 为 VTP 服务 器 
BE. 必须 使 用 反 转 电缆 将 两 台 交 换 机 连接 起 来 
F. 必须 使 用 一 台 路 由 器 在 VLAN 之 间 转 发 VTP 数据 流 
(19) 下 面 哪 3 项 是 VLAN 带 来 的 好 处 ? 


A. 增 大 了 冲突 域 的 规模 B. 使 得 可 根据 职能 对 用 户 进行 逻辑 分 组 

C. 让 网 络 更 安全 D. 增 大 了 广播 域 的 规模 ， 同 时 减少 了 冲突 域 数 量 

E. 简化 了 交换 机 的 管理 F. 增加 了 广播 域 数量 ， 同 时 缩小 了 广播 域 的 规模 
(20) 设置 为 中 继 端 口 的 交换 机 端口 ， 可 采用 下 面 哪 3 种 模式 ? 

A.blocking B. dynamic auto C. dynamic desirable 

D. nonegotiate E. access F. learning 
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(1) D。 默 认 情况 下 ， 交 换 机 不 会 传播 VLAN 信息 ; 必须 配置 VTP 域 。VLAN 中 继 协议 (VTP ) 用 于 通 
过 中 继 链 路 传播 VLAN 信息 。 
(2) B、E 和 F。 在 连接 到 交换 机 并 用 于 提供 VLAN 间 通 信 的 路 由 器 上 ， 需 要 配置 子 接口 。 连 接 到 路 由 器 的 
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交换 机 端口 必须 使 用 中 继 协 议 ISL 或 802.1Q。 主 机 都 连接 到 接 入 端口 ， 而 所 有 交换 机 端口 默认 都 是 接 入 端口 。 

(3) C。 虽 然 可 以 使 用 100 Mbits 或 1 Gbits 的 以 太 网 接口 ， 但 100 Mbit/s 以 太 网 接口 是 最 低 要 求 ， 是 最 
佳 答案 。 要 支持 VLAN 间 通 信 ， 必 须 将 交换 机 和 路 由 器 之 间 的 链 路 设置 为 中 继 链 路 。 

(4) D。 通 过 在 交换 型 网 络 中 创建 并 实现 VLAN， 可 在 第 2 层 分 割 广播 域 。 要 让 属于 不 同 VLAN 的 主机 
能 够 彼此 通信 ， 必 须 使 用 路 由 器 或 第 3 层 交 换 机 。 

(5) C 和 D。 思 科 开 发 了 专用 中 继 协 议 ISL; IEEE 中 继 协 议 为 802.1Q。 

(6) A。 默 认 情 视 下 ， 所 有 VLAN 都 可 通过 中 继 链 路 传输 其 数据 流 ， 要 禁止 某 些 VLAN 的 数据 流 穿越 中 
继 链 路 ， 必 须 手 工 将 其 排除 在 外 。 

(7) C。 虚 拟 LAN 在 第 2 层 分 割 广播 域 。 

(8) C。 仅 当 交 换 机 处 于 服务 器 模式 时 ， 才 能 修改 VLAN 信息 。 

(9) F。 在 2950 交换 机 上 ， 只 需 使 用 接口 配置 命令 switchport mode trunk， 因 为 这 种 交换 机 只 支持 
IEEE 802.1Q。 然 而 ，3560 交换 机 支持 ISL 和 802.1Q， 因 此 必须 使 用 命令 encapsulation。 要 将 中 继 协议 
指定 为 802.1Q， 可 使 用 参数 dot1q。 

(10) A。 默 认 情 况 下 ， 所 有 思科 交换 机 都 处 于 VTP 服务 器 模式 。 在 思科 交换 机 上 ， 默 认 没有 配置 其 他 
任何 VTP 信息 。 必 须 将 交换 机 的 VTP 域名 设置 得 相同 ， 否 则 它们 将 不 能 共享 VTP 数据 库 。 

(11) B。VLAN 中 继 协 议 (VTP ) 用 于 将 VLAN 数据 库 传 递 给 交换 型 网 络 中 的 所 有 交换 机 。3 种 VTP 
模式 分 别 为 服务 器 模式 、 客 户 端 模式 和 透明 模式 。 

(12)D。 要 将 交换 机 端口 设置 为 中 继 模式 ， 以 便 沿 链 路 传递 所 有 VLAN 信息 ， 可 使 用 命令 switchport 
mode trunk。 

(13) C。802.1Q 是 为 在 交换 机 之 间 建 立 中 继 链 路 而 开发 的 。 

(14) D。 这 个 问题 不 太 明确 ， 但 最 佳 答案 是 没有 将 端口 分 配给 正确 的 VLAN。 

(15) A、C 和 F。 要 将 交换 机 端口 设置 为 中 继 端 口 ， 必 须 先 进入 接口 〈 这 里 为 FastEthemet 0/1 ) 配置 模 
式 ， 然 后 配置 中 继 功 能 : 在 2950/2960 交换 机 上 ， 使 用 命令 switchport mode trunk (这 些 交 换 机 只 支持 
IEEE 802.1Q ) ; 在 3560 交换 机 上 ， 使 用 命令 switchport trunk encapsulation dot1q。 

(16) C。 虽然 可 将 其 中 一 台 交 换 机 设置 为 客户 端 模式 , 但 这 不 会 影响 交换 机 通过 VTP 分 享 VLAN 信息 。 
然而 ， 如 果 域 名 设置 得 不 同 ， 交 换 机 就 不 能 通过 VIP 分享 VLAN 信息 了 。 

(17) A 和 C。ISL 是 思科 专用 的 帧 标记 方法 ;IEEE 802.1Q 是 标准 的 帧 标记 方法 。 

(18) B 和 D。 要 让 交换 机 分 享 VLAN 信息 ， 它 们 的 VTP 域名 必须 相同 。 另 外 ， 至 少 要 有 一 台 交 换 机 处 
于 VTP 服务 器 模式 ， 其 他 交换 机 可 处 于 VTP 客户 端 模式 。 

(19) B、C 和 F。VLAN 分 割 第 2 层 交 换 型 网 络 的 广播 域 ， 这 意味 着 广播 域 更 小 。VLAN 让 你 能 够 按 职 
能 而 不 是 物理 位 置 将 用 户 分 组 ， 且 在 配置 正确 的 情况 下 ， 可 在 一 定 程度 上 提高 安全 性 。 

(20) B、C 和 D。 交 换 机 中 继 端 口 的 合法 模式 为 dynamic auto、dynamic desirable、trunk 和 nonegotiate。 
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(1) 客户 端 模式 (2) show vtp status (3) 广播 (4) 冲突 

(5) 服务 器 模式 (6) 中 继 让 你 能 够 将 端口 同时 分 配给 多 个 VLAN 

(7) 帧 标识 ( 帧 标记 ) 给 每 个 帧 分 配 一 个 唯一 的 用 户 定义 ID。 这 种 ID 有 时 被 称 为 VLAN 卫 或 VLAN 
徽记 

(8) 对 (9) 接 入 端口 (10) 交换 机 间 链 路 ( ISL ) 


A 
安 全 


本 章 涵盖 如 下 CCNA 考试 要 点 。 

v 找 出 网 络 面临 的 安全 威胁 ， 描 述 缓解 这 些 威胁 的 通用 方法 

口 描述 当今 日 益 增 多 的 网 络 安全 威胁 ， 阐 述 为 何 需 要 实施 综合 性 安全 策略 以 缓解 这 些 威胁 ; 

口 阐述 缓解 网 络 设备 、 主 机 和 应 用 程序 面临 的 常见 安全 威胁 的 通用 方法 ; 

口 描述 常见 安全 设备 和 应 用 程序 的 功能 ; 

口 描述 推荐 的 安全 实践 ， 包 括 确保 网 络 设备 安全 的 基本 措施 。 

v 配置 和 验证 思科 设备 的 基本 运行 方式 和 路 由 选择 功能 ， 并 排除 其 故障 

口 实现 基本 的 路 由 器 安全 。 

v 在 中 型 企业 分 支 机 构 网 络 中 实现 和 验证 NAT 和 ACL， 并 排除 其 故障 

口 描述 ACL 的 用 途 和 类 型 ; 

口 根据 网 络 过 滤 需 求 配置 并 应 用 ACL (包括 使 用 CLIVSDM ); 

口 配置 并 应 用 ACL 以 限制 对 路 由 器 的 Telnet 和 SSH 接 入 (包括 使 用 CLUSDM ); 

口 验证 和 监控 网 络 环境 中 的 ACL; 

口 排除 ACL 故障 。 

如 果 你 是 系统 管理 员 ， 则 确保 重要 的 敏感 数据 及 网 络 资源 免 受 威胁 将 是 你 的 首要 任务 。 思 科 提 供 
了 一 些 有 效 的 安全 解决 方案 ， 可 帮助 你 完成 这 项 任务 。 

访问 控制 列表 (ACL ) 是 思科 安全 解决 方案 的 基本 组 成 部 分 ， 笔 者 将 介绍 简单 和 高 级 访问 控制 列 
表 的 要 点 ， 让 你 能 够 确保 网 络 安全 ， 还 将 演示 如 何 缓解 网 络 面临 的 大 部 分 安全 威胁 。 

访问 控制 列表 是 一 种 “多 才 多 艺 ” 的 网 络 工 具 ， 因 此 在 路 由 器 配置 中 正确 使 用 和 配置 访问 列表 至 
关 重 要 。 访 问 控制 列表 让 网 络 管理 员 能 够 很 好 地 控制 数据 流 在 整个 企业 网 络 中 的 传输 ， 从 而 极 大 地 改 
善 网 络 的 运行 效率 。 通 过 使 用 访问 控制 列表 ,管理 员 可 收集 分 组 传输 方面 的 基本 统计 数据 ， 确 定 要 实 
现 的 安全 策略 ; 还 可 保护 敏感 设备 ， 防 范 未 经 授权 的 访问 。 

在 本 章 中 ， 笔 者 将 讨论 TCP/IP 访问 控制 列表 ， 并 介绍 一 些 可 用 于 测试 和 监视 访问 控制 列表 效果 
的 工具 。 

虚拟 专 网 (VPN ) 是 确保 企业 网 络 安全 的 一 个 重要 工具 ， 我 会 把 这 一 部 分 放 在 第 16 章 介 绍 。 


有 关 本 章 的 最 新 修订 ， 请 访问 www.lammle.com 或 www.sybex.com/go/ccna7e。 
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12.1 外 围 路 由 器 、 防 火 墙 和 内 部 路 由 器 


在 大 中 型 企业 网 络 中 ， 通 常 采 用 外 围 路 由 器 、 内 部 路 由 器 和 防火 墙 的 配置 来 实现 各 种 安全 策略 。 
内 部 路 由 器 对 前 往 企 业 网 络 中 受 保护 部 分 的 数据 流 进 行 过 滤 ， 以 进一步 提高 安全 ， 这 是 通过 使 用 访问 
控制 列表 实现 的 。 图 12-1 说 明了 这 些 设备 所 处 的 位 置 。 

在 本 章 和 第 13 章 ， 我 将 频繁 地 使 用 术语 可 信 网 络 (trusted network ) 和 不 可 信 网 络 (untrusted 
network )， 因 此 必须 知道 它们 位 于 典型 的 安全 网 络 的 什么 地 方 ， 这 很 重要 。 非 军事 区 (DMZ.) 可 能 是 
全 局 因特网 地 址 ， 也 可 能 是 私有 地 址 ， 这 取决 于 如 何 配置 防火 墙 ， 非 军事 区 通常 包含 HTTP、DNS、 
电子 邮件 和 其 他 与 因特网 相关 的 企业 服务 器 。 


企业 (可 信 ) 网 络 


:可 信和 网 络 
jp 内 部 (本 地 网 
外 围 路 由 器 防火 墙 。 ” 络 ) 路 由 器 


DMZ 


图 12-1 典型 的 安全 网 络 


我 们 知道 ， 在 可 信和 网 络 内 部 ， 可 不 使 用 路 由 器 ， 而 结合 使 用 虚拟 局 域 网 ( VLAN ) 和 交换 机 。 多 
层 交 换 机 内 置 了 安全 功能 ， 可 替代 内 部 路 由 器 在 VLAN 架构 中 提供 较 高 的 性 能 。 
下 面 介绍 一 些 使 用 访问 控制 列表 保护 互联 网 络 的 方式 。 


12.2 访问 控制 列表 简介 


从 本 质 上 说 ， 访问 控制 列表 是 一 系列 对 分 组 进行 分 类 的 条 件 ， 它 在 需要 控制 网 络 数据 流 时 很 有 用 。 
在 这 些 情况 下 ， 可 将 访问 控制 列表 用 作 决 策 工具 。 

访问 控制 列表 最 常见 也 是 最 容易 理解 的 用 途 之 一 是 , 将 有 害 的 分 组 过 滤 掉 以 实现 安全 策略 。 例 如 ， 
可 使 用 访问 控制 列表 来 作出 非常 具体 的 数据 流 控制 决策 ， 只 允许 某 些 主机 访问 因特网 上 的 Web 资源 。 
通过 正确 地 组 合 使 用 多 个 访问 控制 列表 ， 网 络 管理 员 几 乎 能 够 实施 任何 能 想到 的 安全 策略 。 

创建 访问 控制 列表 相当 于 编写 一 系列 if-then 语 所 条 
施 ; 如 果 不 满 足 , 则 不 采取 任何 措施 , 而 继续 评估 下 一 条 语句 。 访问 控制 列表 语句 相当 于 分 组 过 滤器 ， 
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根据 它 对 分 组 进行 比较 、 分 类 ， 并 采取 相应 的 措施 。 创 建 访问 控制 列表 后 ， 就 可 将 其 应 用 于 任何 接口 
的 人 站 或 出 站 数据 流 。 访 问 控制 列表 被 应 用 于 接口 后 ， 路 由 器 将 对 沿 指定 方向 穿越 该 接口 的 每 个 分 组 
进行 分 析 ， 并 采取 相应 的 措施 。 
将 分 组 同 访问 控制 列表 进行 比较 时 ， 需 要 遵守 一 些 重要 规则 。 . 
口 总 是 按 顺 序 将 分 组 与 访问 控制 列表 的 每 一 行进 行 比较 ， 即 总 是 首先 与 访问 控制 列表 的 第 一 行 
进行 比较 ， 然 后 是 第 二 行 和 第 三 行 ， 以 此 类 推 。 
口 不 断 比 较 ， 直 到 满足 条 件 为 止 。 在 访问 控制 列表 中 ， 找 到 分 组 满足 的 条 件 后 ， 对 分 组 采取 相 
应 的 措施 ， 且 不 再 进行 比较 。 
口 每 个 访问 控制 列表 末尾 都 有 一 条 隐 式 的 deny 语句 , 这 意味 着 如 果 不 满足 访问 控制 列表 中 任何 
行 的 条 件 ， 分 组 将 被 丢弃 。 
使 用 访问 控制 列表 过 滤 卫 分 组 时 , 上 述 每 条 规则 都 将 带 来 深远 的 影响 ; 要 创建 出 有 效 的 访问 控制 
列表 ， 必 须 经 过 一 段 时 间 的 练习 。 
访问 控制 列表 分 两 大 类 : 
口 标准 访问 控制 列表 它们 只 将 分 组 的 源 IP 地 址 用 作 测 试 条 件 ， 所 有 的 决策 都 是 根据 源 人 P 地 址 
作出 的 。 这 意味 着 标准 访问 控制 列表 要 么 允许 要 么 拒绝 整个 协议 族 ， 它 们 不 区 分 IP 数据 流 类 
型 (如 Web、Telnet、UDP 等 )。 
口 扩展 访问 控制 列表 ”它们 能 够 检查 IP 分 组 第 3 层 和 第 4 层 报头 中 的 众多 其 他 字段 。 它 们 能 够 
检查 源 IP 地 址 、 目 标 人 地 址 、 网 络 层 报头 的 协议 ( Protocol ) 字段 、 传 输 层 报头 中 的 端口 号 。 
这 让 扩展 访问 列表 能 够 做 出 更 细致 的 数据 流 控制 决策 。 
口 命名 访问 控制 列表 且慢 ! 前 面 不 是 说 只 有 两 类 吗 ? 怎么 这 里 列 出 了 三 类 呢 ? 从 技术 上 说 ， 
确实 只 有 两 类 ， 因 为 命名 访问 控制 列表 要 人 么 是 标准 的 ， 要 么 是 扩展 的 ， 并 非 一 种 新 类 型 。 这 
里 之 所 以 专门 列 出 它 ， 和 展 访问 控 
制 列 表 ， 但 功能 是 相同 的 。 


< 本 章 后 面 将 更 详细 地 介绍 这 些 访 问 控制 列表 类 型 。 
注意 


创建 访问 控制 列表 后 ， 除 非 将 其 应 用 于 接口 ， 否 则 它 不 能 发 挥 任何 作用 。 此 时 访问 控制 列表 确实 
包含 在 路 由 器 配置 中 ， 但 除非 告诉 路 由 器 使 用 它 来 做 什么 ， 否 则 它 处 于 非 活动 状态 。 要 将 访问 控制 列 
表 用 作 分 组 过 滤器 ， 需 要 将 其 应 用 于 要 进行 数据 流 过 滤 的 路 由 器 接口 。 还 必须 指定 要 使 用 访问 控制 列 
表 来 过 滤 哪 个 方向 的 数据 流 ， 这 种 要 求 有 充分 的 理由 : 对 于 从 企业 网 络 前 往 因 特 网 的 数据 流 和 从 因 特 
网 进入 企业 网 络 的 数据 流 ， 你 可 能 想 采取 不 同 的 控制 措施 。 通 过 指定 数据 流 的 方向 ， 可 以 (也 经 常 需 
要 ) 在 同一 个 接口 上 将 不 同 的 访问 控制 列表 用 于 入 站 和 出 站 数据 流 。 
口 入 站 访问 控制 列表 ”将 访问 控制 列表 应 用 于 入 站 分 组 时 ， 将 根据 访问 控制 列表 对 这 些 分 组 进 
行 处 理 ， 然 后 再 将 其 路 由 到 出 站 接口 。 遭 到 拒绝 的 分 组 不 会 被 路 由 ， 因 为 在 调用 路 由 选择 进 
程 前 ， 它 们 已 被 丢弃 。 
口 出 站 访问 控制 列表 ”将 访问 控制 列表 应 用 于 出 站 分 组 时 ， 分 组 将 首先 被 路 由 到 出 站 接口 ， 然 
后 再 将 分 组 排队 前 根据 访问 控制 列表 对 其 进行 处 理 。 
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在 路 由 器 上 创建 和 实现 访问 控制 列表 时 ， 应 遵守 一 些 通 用 的 指导 原则 : 
口 在 接口 的 特定 方向 上 , 每 种 协议 只 能 有 一 个 访问 控制 列表 。 这 意味 着 应 用 下 访问 控制 列表 时 ， 
每 个 接口 上 只 能 有 一 个 人 站 访问 控制 列表 和 一 个 出 站 访问 控制 列表 。 


考虑 到 每 个 访问 控制 列表 末尾 的 隐 式 deny 语句 带 来 的 影响 ， 不 允许 在 接口 的 
注意 。 特定 方向 对 特定 协议 应 用 多 个 访问 控制 列表 是 有 道理 的 。 鉴 于 不 满足 第 一 个 访问 控 
制 列表 中 任何 条 件 的 分 组 都 将 被 拒绝 ， 因 此 不 会 有 任何 分 组 需要 与 第 二 个 访问 控制 

列表 进行 比较 。 


口 在 访问 控制 列表 中 ， 将 具体 的 测试 条 件 放 在 前 面 。 

口 新 增 的 语句 将 放 在 访问 控制 列表 的 末尾 。 强 烈 建议 使 用 文本 编辑 器 来 编辑 访问 控制 列表 。 

口 不 能 仅 删除 访问 控制 列表 中 的 一 行 ， 如 果 试 图 这 样 做 ， 将 删除 整个 访问 控制 列表 。 要 编辑 访 
问 控制 列表 ， 最 好 先 将 其 复制 到 文本 编辑 器 中 。 使 用 命名 访问 控制 列表 是 唯一 的 例外 。 


对 于 命名 访问 控制 列表 ， 可 编辑 、 添 加 或 删除 特定 行 ， 稍 后 将 演示 这 一 点 。 


注意 


口 除非 访问 控制 列表 以 permit any 命令 结尾 ,否则 不 满足 任何 条 件 的 分 组 都 将 被 丢弃 。 访 问 控 
制 列表 至 少 应 包含 一 条 permit 语句 ， 否 则 它 将 拒绝 所 有 的 数据 流 。 

口 创建 访问 控制 列表 后 应 将 其 应 用 于 接口 。 如 果 访 问 控制 列表 没有 包含 任何 测试 条 件 ， 即 使 将 
其 应 用 于 接口 ， 它 也 不 会 过 滤 数 据 流 。 

口 访问 控制 列表 用 于 过 滤 穿 越 路 由 器 的 数据 流 ; 它们 不 会 对 始 发 于 当前 路 由 器 的 数据 流 进 行 过 滤 。 

口 应 将 下 标准 访问 控制 列表 放 在 离 目的 地 尽 可 能 近 的 地 方 ， 这 就 是 我 们 不 想 在 网 络 中 使 用 标准 
访问 控制 列表 的 原因 。 不 能 将 标准 访问 控制 列表 放 在 离 源 主机 或 源 网 络 很 近 的 地 方 ， 因 为 它 
只 能 根据 源 地 址 进行 过 滤 ， 这 将 影响 所 有 的 目的 地 。 

口 将 下 扩展 访问 控制 列表 放 在 离 信 源 尽 可 能 近 的 地 方 。 扩 展 访问 控制 列表 可 根据 非常 具体 的 地 
址 和 协议 进行 过 滤 ， 我 们 不 希望 数据 流 穿 越 整个 网 络 后 ， 最 终 却 被 拒绝 。 将 这 种 访问 控制 列 
表 放 在 离 信 源 尽 可 能 近 的 地 方 ， 可 在 一 开始 就 将 数据 流 过 滤 掉 ， 以 免 它 占用 宝贵 的 带宽 。 

介绍 如 何 配置 标准 和 扩展 访问 控制 列表 前 ， 先 来 讨论 如 何 使 用 ACL 缓解 前 面 讨论 的 安全 威胁 。 


使 用 ACL 缓解 安全 威胁 


使 用 ACL 可 缓解 众多 的 安全 威胁 ， 如 下 所 示 : 

口 IP 地址 欺骗 (人 站 ); 

口 PP 地 址 欺骗 (出 站 ); 

口 拒绝 服务 ( DoS ) TCP SYN 攻击 〈 阻 断 外 部 攻击 ); 
口 DoS TCP SYN 攻击 (使 用 TCP 拦截 ); 

口 DoS smurf 攻击 ; 

口 拒绝 /过 滤 ICMP 消息 (入 站 ); 
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口 拒绝 /过 滤 ICMP 消息 (出 站 ); 
口 拒绝 /过 滤 traceroute。 


这 不 是 一 本 专门 介绍 安全 的 书 ， 如 果 有 些 术 语 你 不 明白 ， 请 自行 研究 。 


如 果 外 部 IP 分 组 的 源 地 址 为 内 部 主机 或 网 络 ， 通 常 明知 的 选择 是 不 让 它们 进入 私有 网 络 。 

配置 ACL， 对 从 因特网 前 往 私有 网 络 的 数据 流 进行 过 滤 ， 以 缓解 安全 威胁 时 ， 应 遵守 如 下 规则 ; 

口 拒绝 源 地 址 属于 内 部 网 络 的 分 组 ; 

口 拒绝 源 地 址 为 本 地 主机 地 址 ( 127.0.0.0/8 ) 的 分 组 ; 

口 拒绝 源 地 址 为 保留 私有 地 址 ( RFC 1918 ) 的 分 组 ; 

口 拒绝 源 地 址 位 于 卫 组 播 地 址 范围 (224.0.0.0/4 ) 内 的 分 组 。 

对 于 使 用 这 些 源 地 址 的 分 组 ， 都 不 应 让 它们 进入 你 的 互联 网 络 。 下 面 来 配置 标准 和 高 级 访问 控制 
列表 。 
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标准 他 访问 控制 列表 通过 查看 分 组 的 源 外 地址 来 过 滤 网 络 数据 流 。 创建 标准 人 访问 控制 列表 时 ， 
使 用 访问 控制 列表 编号 1~ 99 或 1300~ 1999 (扩展 范围 )。 通常 使 用 编号 来 区 分 访问 控制 列表 的 类 型 。 
根据 创建 访问 控制 列表 时 使 用 的 编号 , 路 由 器 知道 输入 时 应 使 用 什么 样 的 语法 。 编 号 1 ~99 或 1300~ 
1999， 告 诉 路 由 器 要 创建 一 个 标准 中 访问 控制 列表 ， 而 路 由 器 要 求 只 将 源 下 地 址 用 作 测 试 条 件 。 

下 面 列 出 了 过 滤 网 络 数据 流 时 ， 可 使 用 的 众多 访问 控制 列表 编号 范围 (可 为 哪些 协议 指定 访问 控 
制 列表 取决 于 你 使 用 的 IOS 版 本 ): 


Corp(config)#access-l1ist ? 


<1-99> IP standard access |]ist 

<100-199> IP extended access list 

<1100-1199> Extended 48-bit MAC address access |1ist 
<1300-1999> IP standard access list (expanded range) 
<200-299> Protocol type-code access list 
<2000-2699> IP extended access list (expanded range) 
<700-799> 48-bit MAC address access list 

compiled Enable IP access-list compilation 
dynamic-extended Extend the dynamic ACL absolute timer 
rate-1imit Simple rate-]imit specific access list 


下 面 来 看 创建 标准 访问 控制 列表 的 语法 : 
CorpK(config)#access-1ist 10 ? 
deny Specify packets to reject 
permit Specify packets to forward 
remark Access list entry comment 
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前 面 说 过 , 使 用 访问 控制 列表 编号 1~99 或 1300~ 1999 ,就 相当 于 告诉 路 由 器 你 要 创建 一 个 标准 
了 P 访 问 控制 列表 。 
指定 访问 控制 列表 编号 后 ， 需 要 决定 是 要 创建 permit 语句 还 是 deny 语句 。 在 这 个 例子 中 ,我 
们 创建 一 条 deny 语句 : 
Corp(Cconfig)#access-1ist 10 deny ? 
Hostname or A.B.C.D Address to match 
any Any source host 
host A single host address 
接 下 来 的 一 步 需要 做 更 详细 的 解释 。 有 3 个 选项 可 供 选 择 。 可 使 用 参数 any 允许 或 拒绝 任何 源 主 
机 ( 网络 )， 可 使 用 一 个 下 地址 来 指定 单 台 主 机 或 特定 范围 内 的 主机 ， 还 可 使 用 命令 host 指定 特定 
的 主机 。 命令 any 的 含义 显而易见 , 它 指 的 是 与 语句 匹配 的 任何 源 地 址 ， 因 此 每 个 分 组 都 与 该 语句 匹 
配 。 命 令 host 比较 简单 ， 下 面 是 一 个 使 用 它 的 示例 ; 
Corp(config)#access-list 10 deny host ? 
Hostname or A.B.C.D Host address 
Corp(config)#access-list 10 deny host 172.16.30.2 
这 条 语句 拒绝 任何 来 自 172.16.30.2 的 分 组 。 默认 参数 为 host, 换 句 话说 , 如 果 输 入 access-1ist 
10 deny 172.16.30.2， 路 由 器 将 认为 输入 的 是 access-1ist 10 deny host 172.16.30.2， 且 在 
运行 配置 中 也 这 样 显 示 。 
但 还 有 另外 一 种 方法 可 指定 特定 主机 或 特定 范围 内 的 主机 一 一 使 用 通配符 掩 码 。 事 实 上 ， 要 指定 
任何 范围 内 的 主机 ， 必 须 在 访问 控制 列表 中 使 用 通配符 掩 码 。 
什么 是 通配符 掩 码 呢 ? 接 下 来 的 几 节 将 通过 一 个 标准 访问 控制 列表 示例 全 面 介绍 它 , 并 探讨 如 何 
控制 对 虚拟 终端 的 访问 。 好 消息 是 ， 这 里 将 使 用 的 通配符 掩 码 与 第 9 章 介绍 OSPF 的 那 节 使 用 的 通 配 
符 掩 码 相同 。 


12.3.1 通配符 掩 码 


在 访问 控制 列表 中 ， 可 使 用 通配符 来 指定 特定 主机 、 特 定 网 络 或 网 络 的 一 部 分 。 要 理解 通配符 ， 
就 必须 理解 块 大 小 ， 它 用 于 指定 地 址 范围 。 块 大 小 包括 64、32、16、8 和 4 等。 

在 需要 指定 地 址 范围 时 ， 可 使 用 能 满足 需求 的 最 小 块 大 小 。 例 如 ， 如 果 需 要 指定 34 个 网 络 ， 则 
需要 使 用 块 大 小 64; 如 果 需 要 指定 18 台 主 机 ， 则 需要 使 用 块 大 小 32; 如 果 只 需 指定 2 个 网 络 ， 则 使 
用 块 大 小 4 就 可 以 了 。 

通过 结合 使 用 通配符 和 主机 (网络 ) 地 址 来 告诉 路 由 器 要 过 滤 的 地 址 范围 。 要 指定 一 台 主 机 ， 可 
使 用 类 似 于 下 面 的 组 合 : 

172.16.30.5 0.0.0.0 

其 中 的 4 个 0 分 别 表示 1B。0 表 示 地 址 中 的 相应 字 节 必须 与 指定 的 地 址 相同 。 要 指定 某 个 字 节 可 
以 为 任意 值 ， 可 使 用 255。 例 如 ， 下 面 的 示例 演示 了 如 何 使 用 通配符 掩 码 指定 一 个 /24 子 网 : 

172.16.30.0 0.0.0.255 

这 告诉 路 由 器 ,前 3 B 必须 完全 相同 ， 而 第 4 个 字 节 可 以 为 任意 值 。 
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这 很 容易 。 但 如 果 要 指定 小 范围 的 子 网 ， 该 怎么 办 呢 ? 此 时 块 大 小 便 可 派 上 用 场 了 。 指 定 的 范围 
必须 与 某 个 块 大 小 相同 ， 换 名 话说， 不 能 指定 20 个 网 络 ， 而 只 能 指定 与 块 大 小 相同 的 范围 ， 即 要 人 么 
是 16， 要 么 是 32， 但 不 能 是 20。 

假定 要 禁止 网 络 中 的 一 部 分 ( 即 172.16.8.0~ 172.16.15.0 ) 访问 你 的 网 络 。 该 范围 对 应 的 块 大 小 为 
8， 因 此 ,在 访问 控制 列表 中 , 应 指定 网 络 号 172.16.8.0 和 通配符 掩 码 0.0.7.255。 这 是 什么 意思 呢 ? 路 
由 器 根据 7.255 确定 块 大 小 。 上 述 网 络 号 和 通配符 掩 码 组 合 告诉 路 由 器 ， 从 172.16.8.0 开始, 向 上 数 8 
个 ( 块 大 小 ) 网 络 ， 直 到 网 络 172.16.15.0。 

这 上 比 看 起 来 简单 。 我 原本 可 以 使 用 二 进 制 来 解释 ， 但 不 需要 这 样 做 。 实 际 上 ， 只 需 记 住 ， 通 配 符 
掩 码 总 是 比 块 大 小 小 1。 就 这 个 示例 而 言 ， 通 配 符 掩 码 为 7， 因 为 块 大 小 为 8。 如 果 使 用 的 块 大 小 为 
16， 则 通配符 掩 码 将 为 15。 很 容易 ， 不 是 吗 ? 

下 面 将 通过 一 些 示例 帮助 你 掌握 这 一 点 。 下 面 的 示例 告诉 路 由 器 ,前 3 B 必须 完全 相同 ， 而 第 4 个 
字 节 可 以 是 任意 值 : 

Corp(config)#access-list 10 deny 172.16.10.0 0.0.0.255 

下 面 的 示例 告诉 路 由 器 ， 前 2 B 必须 完全 相同 ， 而 后 2 B 可 以 是 任意 值 ; 

Corp(Cconfig)#access-1ist 10 deny 172.16.0.0 0.0.255.255 

请 尝试 配置 下 面 一 行 : 

Corp(config)#access-l1ist 10 deny 172.16.16.0 0.0.3.255 


该 配置 告诉 路 由 器 , 从 网 络 172.16.16.0 开始 , 并 使 用 块 大 小 4。 因此 范围 为 172.16.16.0~172.16.19.255 . 


(CCNA 考题 与 此 类 似 )。 
接着 练习 。 下 面 的 配置 是 什么 意思 呢 ? 
Corp(config)#access-list 10 deny 172.16.16.0 0.0.7.255 
这 条 语句 指出 ， 从 网 络 172.16.16.0 开始 ， 向 上 数 8 个 〈 块 大 小 ) 网 络 ， 到 172.16.23.255 结束 。 
为 掌握 这 项 知识 ， 还 需 做 更 多 练习 。 下 面 的 语句 指定 的 是 什么 范围 呢 ? 
Corp(config)#access-list 10 deny 172.16.32.0 0.0.15.255 
这 条 语句 指出 ， 从 网 络 172.16.32.0 开始 ， 向 上 数 16 个 ( 块 大 小 ) 网 络 ， 到 172.16.47.255 结束 。 
下 面 再 做 几 个 练习 ， 然 后 配置 一 些 ACL。 
Corp(Cconfig)#access-1ist 10 deny 172.16.64.0 0.0.63.255 
这 条 语句 指出 ， 从 网 络 172.16.64.0 开始 ， 向 上 数 64 个 〈 块 大 小 ) 网 络 ， 到 172.16.127.255 结束 。 
来 看 最 后 一 个 示例 : 
Corp(config)#access-1ist 10 deny 192.168.160.0 0.0.31.255 
这 条 语句 指出 ， 从 网 络 192.168.160.0 开始， 向 上 数 32 个 〈 块 大 小 ) 网 络 ， 到 192.168.191.255 结束 。 
确定 块 大 小 和 通配符 掩 码 时 ， 还 需 牢 记 如 下 两 点 : 
口 起 始 位 置 必须 为 0 或 块 大 小 的 整数 倍 。 例 如 ， 块 大 小 为 8 时， 起 始 位 置 不 能 是 12。 范 围 必须 
是 0~7、8~15、16~23 等 。 而 块 大 小 为 32 时 ,范围 必 须 是 0~31、32~63、64~95 等 。 
口 命令 any 与 0.0.0.0 255.255.255.255 等 价 。 
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过 六 拘 答 对 草 奸 IP 诸 癌 要 制 风 表示 久生 重 委 ，4 必须 并 看 二 卫 访问 控 
注意 ” 制 列表 和 扩展 IP 访问 控制 列表 中 ， 其 用 法 完全 相同 。 


12.3.2 ”标准 访问 控制 列表 示例 


本 节 介 绍 如 何 使 用 标准 访问 控制 列表 禁止 特定 用 户 访 问 财务 部 LAN。 
在 图 12-2 中 ， 路 由 器 有 3 条 LAN 连接 和 1 条 到 因特网 的 WAN 连接 。 不 应 让 销售 部 LAN 的 用 户 
访问 财务 部 LAN, 但 应 允许 他 们 访问 因特网 和 市 场 营销 部 的 文件 。 市场 营销 部 的 用 户 需 要 能 够 访问 财 


务 部 LAN， 以 使 用 其 应 用 程序 服务 。 
< S0/0/0 < 
Fa0/0 过 
Fal/0 


a 


市 ee 
172. a 0/24 172.16.60.0/24 


财务 部 
172.16.50.0/24 
12-2 在 有 3 条 LAN 连接 和 1 条 WAN 连接 的 路 由 器 上 配置 全 访问 控制 列表 


在 图 中 的 路 由 器 上 ， 配 置 如 下 标准 人 Px 访问 控制 列表 : 

Lab_A#config 七 

Lab_ACConfig)#access-1ist 10 deny 172.16.40.0 0.0.0.255 

Lab_A(config)#access-list 10 permit any 

命令 any 与 0.0.0.0 255.255.255.255 等 价 ， 如 下 所 示 : 

Lab_A(config)#access-list 10 permit 0.0.0.0 255.255.255.255 
该 通配符 掩 码 指出 , 不 用 考虑 任何 一 个 字 节 , 因此 所 有 地 址 都 满足 这 个 测试 条 件 。 这 与 使 用 关键 字 any 
等 价 。 

当前 ， 该 访问 控制 列表 禁止 任何 来 自 销售 部 LAN 的 分 组 进入 财务 部 LAN， 但 允许 其 他 所 有 分 组 
进入 。 别 忘 了 ， 除 非 将 访问 控制 列表 应 用 于 接口 的 特定 方向 ， 否 则 它 不 会 发 挥 任何 作用 。 

应 将 该 访问 控制 列表 放 在 什么 地 方 呢 ? 如 果 将 其 作为 人 站 访问 控制 列表 应 用 于 接口 fa0/0, 还 不 如 
关闭 这 个 快速 以 太 网 接口 呢 ! 因为 这 将 导致 销售 部 LAN 中 的 所 有 设备 都 无 法 访问 与 该 路 由 器 相连 的 
任何 网 络 。 最 佳 的 选择 是 ， 将 其 作为 出 站 访问 控制 列表 应 用 于 接口 fa0/1: 
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Lab ACconfig)#int faQ/1l 

Lab_A(Cconfig-if)#ip access-group 10 out 

这 就 完全 禁止 了 来 自 172.16.40.0 的 数据 流 从 接口 fa0/1 传输 出 去 。 它 不 会 影响 销售 部 LAN 的 主机 
访问 市 场 营 销 部 LAN 和 因特网 ， 因 为 前 往 这 些 目的 地 的 数据 流 不 会 经 过 接口 fa0/1。 任 何 试 图 从 接口 
fa0/1 出 去 的 分 组 都 将 首先 经 过 该 访问 控制 列表 。 如 果 在 接口 fa0/0 上 应 用 了 入 站 访问 控制 列表 ， 则 任 
何 试图 进入 该 接口 的 分 组 都 将 首先 经 过 这 个 访问 控制 列表 ， 然 后 才 被 路 由 到 出 站 接口 。 

下 面 来 看 另 一 个 标准 访问 控制 列表 示例 。 在 图 12-3 所 示 的 互联 网 络 中 ,有 2 台 路 由 器 、3 个 LAN 
和 1 条 串 行 WAN 连接 。 


192.168.10.161/27 


me— 
a 


-=> 
后 


人 力 资源 部 


E1 192.168.10.129/27 


一 . | 
财务 部 


192.168.10.222/27 
12-3 ”IP 标准 访问 控制 列表 示例 2 


你 想 通 过 使 用 一 个 标准 ACL， 禁 止 财务 部 的 用 户 访问 与 路 由 器 Lab_B 相连 的 人 力 资源 服务 器 ， 
但 允许 其 他 用 户 访问 该 LAN。 应 该 创建 什么 样 的 标准 访问 控制 列表 ? 将 它 放 在 哪里 呢 ? 

准确 的 答案 是 ， 应 该 创建 一 个 扩展 访问 控制 列表 ， 并 将 其 放 在 离 信 源 最 近 的 地 方 ， 但 这 里 要 求 你 
使 用 标准 访问 控制 列表 。 根 据 经 验 规则 ， 标 准 访问 控制 列表 应 放 在 离 目的 地 最 近 的 地 方 ， 这 里 是 路 由 
器 Lab_B 的 接口 E0。 下 面 是 应 在 路 由 器 Lab_B 上 配置 的 访问 控制 列表 : 

Lab_B#config +t 

Lab_B(Cconfig)#access-l1ist 10 deny 192.168.10.128 0.0.0.31 

Lab_B(Cconfig)#access-1ist 10 permit any 

Lab_B(config)#interface Ethernet 0 

Lab_B(config-if)#ip access-group 10 out 

为 回答 这 个 问题 ， 必 须 理 解 子 网 划分 、 通 配 符 掩 码 以 及 如 何 配置 和 实现 ACL。 我 想 你 还 需 多 做 这 
方面 的 练习 。 

因此 ， 介 绍 如 何 限制 以 Telnet 方 式 访问 路 由 器 前 ， 再 来 看 一 个 标准 访问 控制 列表 示例 ， 这 个 示例 
要 求 你 更 深入 地 思考 。 在 图 124 中 ， 一 台 路 由 器 有 4 条 LAN 连接 ,还 有 1 条 到 因特网 的 WAN 连接 。 

编写 一 个 访问 控制 列表 ， 禁 止 图 中 所 示 的 4 个 LAN 访问 因特网 。 对 于 图 中 的 每 个 LAN， 都 列 出 
了 其 中 一 台 主 机 的 IP 地址 ， 据 此 确定 在 访问 控制 列表 中 指定 每 个 LAN 时 应 使 用 的 子 网 地 址 和 通配符 
掩 码 。 
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172.16.92.10/21 


[mm 上 可 
172.16.144.17/19 172.16.198.94/18 


1 ga 6.50.173/20 
图 12-4 了 下 标准 访问 控制 列表 示例 3 


答案 应 类 似 于 下 面 这 样 (一 次 指定 了 E0~BE3 连接 的 子 网 ): 

Router(Cconfig)#access-]1ist 1 deny 172.16.128.0 0.0.31.255 

Router(config)#access-list 1 deny 172.16.48.0 0.0.15.255 

Router(config)#access-list 1 deny 172.16.192.0 0.0.63.255 

Router(config)#access-list 1 deny 172.16.88.0 0.0.7.255 

Router(Cconfig)#access-1ist 1 permit any 

Router(config)#interface serial 0 

Router(config-if)#ip access-group 1 out 
当然 ， 也 可 以 只 使 用 下 面 一 行 ; 

Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255 
但 这 样 做 有 什么 意思 呢 ? 

创建 这 个 访问 控制 列表 的 目的 是 什么 ? 如 果 在 路 由 器 上 应 用 这 个 访问 控制 列表 ， 就 等 于 完全 禁止 
访问 因特网 了 , 那 还 要 因特网 连接 做 什么 ? 这 里 提供 这 个 示例 旨 在 让 你 练习 在 访问 控制 列表 中 使 用 块 
大 小 ， 这 对 你 备考 CCNA 至 关 重 要 。 


12.3.3 控制 VTY (Telnet/SSH) 访问 


对 于 大 型 路 由 器 ， 要 禁止 用 户 以 Telnet 或 SSH 方式 访问 它 可 能 很 难 ， 因 为 每 个 活动 接口 都 允许 
VTY 访问 。 可 创建 一 个 扩展 人 P 访问 控制 列表 ， 禁 止 访问 路 由 器 的 每 个 地 址 。 但 如 果真 的 这 样 做 ， 必 
须 将 其 应 用 于 每 个 接口 的 人 站 方向 ， 对 于 有 数 十 甚至 数 百 个 接口 的 大 型 路 由 器 来 说 ， 这 种 解决 方案 的 
可 扩展 性 太 低 了 。 另 外 ， 如 果 每 台 路 由 器 都 对 每 个 分 组 进行 检查 ， 以 防 它 访问 VTY 线路 ， 导 致 的 网 
络 延 迟 将 很 大 。 
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一 种 好 得 多 的 解决 方案 是 ， 使 用 标准 下 访问 控制 列表 来 控制 对 VTY 线路 的 访问 。 

这 种 解决 方案 为 何 可 行 呢 ?因为 将 访问 控制 列表 应 用 于 VTY 线路 时 ， 不 需要 指定 协议 一 一 访问 
VTY 就 意味 着 以 Telnet 或 SSH 方式 访问 终端 。 也 不 需要 指定 目标 地 址 ， 因 为 你 不 关心 用 户 将 哪个 接 
口 的 地 址 用 作 Telnet 会 话 的 目标 。 你 只 需 控 制 用 户 来 自 何方 一 一 他 们 的 源 下 地 址 。 

要 实现 这 项 功能 ， 请 执行 如 下 步 又: 

(1) 创建 一 个 标准 下 访问 控制 列表 ， 它 只 允许 你 希望 的 主机 远程 登录 到 路 由 器 。 

(2) 使 用 命令 access-class in 将 该 访问 控制 列表 应 用 于 VTY 线路 。 

下 面 的 示例 只 允许 主机 172.16.10.3 远程 登录 到 路 由 器 : 

Lab A(config)#access-list 50 permit host 172.16.10.3 

Lab A(Cconfig)#line vty 0 4 

Lab_A(config-line)#access-class 50 in 


由 于 访问 控制 列表 末尾 有 一 条 隐 式 的 deny any 语句 ， 因 此 除 172.16.10.3 外 的 其 他 任何 主机 都 不 
能 远程 登录 到 该 路 由 器 , 而 不 管 它 将 路 由 器 的 哪个 P 地 址 用 作 目 标 。 你 可 能 想 将 源 地 址 指定 为 管理 员 


所 属 的 子 网 ， 而 不 是 单 台 主机 ; 但 下 面 的 示例 演示 了 如 何在 不 增加 路 由 器 延迟 的 情况 下 确保 VTY 线 
路 的 安全 。 


AAA re 
ND 真实 案例 
应 保护 路 由 器 的 VTY 线路 吗 


使 用 命令 show users 对 网 络 进行 监视 时 ， 发现 有 人 远程 登录 到 了 你 的 核心 路 由 器 。 此 时 ， 
你 使 用 命令 disconnect 断 开 了 他 到 该 路 由 器 的 连接 ， 但 发 现 几 分 钟 后 他 又 连接 到 了 该 路 由 器 。 
因此 ， 你 想 在 该 路 由 器 的 接口 上 放置 一 个 访问 控制 列表 ， 但 又 不 想 给 每 个 接口 增加 过 多 的 延迟 ， 
因为 该 路 由 器 处 理 的 分 组 已 经 很 多 了 。 你 想 将 一 个 访问 控制 列表 应 用 于 VTY 线路 本 身 ， 但 以 前 
没有 这 样 做 过 , 不 知道 这 种 解决 方案 能 否 取 得 与 将 访问 控制 列表 应 用 于 每 个 接口 相同 的 效果 。 就 
这 个 网 络 而 言 ， 将 访问 控制 列表 应 用 于 VTY 线路 是 个 好 主意 吗 ? 


绝对 是 个 好 主意 ， 可 使 用 本 章 前 面 介绍 的 命令 access-class。 为 什么 呢 ? 因为 这 可 避免 使 
用 访问 控制 列表 对 进出 接口 的 每 个 分 组 进行 检查 ， 而 这 样 做 会 增加 路 由 分 组 的 开销 。 
在 VTY 线路 上 配置 命令 access-class in 时 ， 只 会 检查 并 比较 进入 路 由 器 的 Telnet 分 组 。 
这 提供 了 一 种 完美 而 又 易于 配置 的 安全 解决 方案 。 


思科 建议 使 用 Secure Shell ( SSH ) 而 不 是 Teinet 来 访问 路 由 器 的 VTY 线路 。 有 
注意 ” 关 SSH 以 及 如 何在 路 由 器 和 交换 机 上 配置 它 的 详细 信息 ， 请 参阅 第 6 章 。 


12.4 扩展 访问 控制 列表 


在 本 章 前 面 介 绍 的 一 个 标准 IP 访 问 控制 列表 示例 中 ， 你 必须 禁止 销售 部 LAN 的 所 有 主机 访问 财 
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务 部 LAN。 如 果 需 要 允许 销售 部 用 户 访问 财务 部 LAN 中 的 一 台 服 务 器， 但 不 允许 他 们 访问 其 他 网 络 
服务 ( 出 于 安全 考虑 )， 该 如 何 办 呢 ? 使 用 标准 中 访问 控制 列表 时 ， 无 法 在 允许 用 户 访问 一 种 网 络 服 
务 的 同时 ,禁止 他 们 访问 其 他 服务 。 换 句 话说 ,使 用 标准 访问 控制 列表 时 ， 无 法 同时 根据 源 地 址 和 目 
标 地 址 来 作出 决策 ， 因 为 它 只 根据 源 地 址 作出 决策 。 

但 扩展 访问 控制 列表 可 帮助 你 解决 这 个 问题 ， 因 为 在 扩展 访问 控制 列表 中 ， 可 指定 源 地 址 、 目 标 
地 址 、 协 议 以 及 标识 上 层 协议 或 应 用 程序 的 端口 号 。 使 用 扩展 访问 控制 列表 可 在 允许 用 户 访问 某 个 
LAN 的 同时 ， 禁 止 他 们 访问 其 中 的 特定 主机 一 一 甚至 主机 提供 的 特定 服务 。 

下 面 介绍 如 何 创 建 扩 展 耳 访问 控制 列表 


Corp(config)#access-1ist ? 


<1-99> IP standard access list 

<100-199> IP extended access list 

<1100-1199> Extended 48-bit MAC address access list 
<1300-1999> IP standard access list (expanded range) 
<200-299> Protocol type-code access list 
<2000-2699> IP extended access list (expanded range) 
<700-799> 48-bit MAC address access list 

compiled Enable IP access-l1ist compilation 
dynamic-extended Extend the dynamic ACL absolute timer 
rate-1imit Simple rate-1imit specific access list 


这 个 命令 列 出 了 可 用 的 访问 控制 列表 编号 。 对 于 扩展 访问 控制 列表 , 使 用 编号 100 一 199; 但 注意 ， 
编号 2000~ 2699 也 可 用 于 扩展 访问 控制 列表 。 
现在 ,需要 决定 要 创建 的 语句 类 型 。 这 里 创建 一 条 deny 语句 : 
Corp(config)#access-list 110 ? 
deny Specify packets to reject 
dynamic Specify a DYNAMIC 1ist of PERMITs or DENYs 
permit Specify packets to forward 
remark Access list entry comment 
选择 语句 的 类 型 后 ,需要 指定 协议 : 
Corp(config)#access-list 110 deny ? 
<0-255> An IP protocol number 


ahp Authentication Header Protocol 

eigrp Cisco's EIGRP routing protocol 

esp Encapsulation Security Payload 

gre Cisco's GRE tunneling 

icmp Internet Control Message Protocol 

igmp Internet Gateway Message Protocol1 

ip Any Internet Protocol 

ipinip IP in IP tunneling 

nos KA9Q NOS compatible IP over IP tunneling 


ospf OSPF routing protocol]l 
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pcp Payload Compression Protocol 
pim Protocol Independent Muiticast 
tcp Transmission Control Protocol 
udp User Datagram Protocol1 


如 果 根 据 应 用 层 协 议 进行 过 滤 ， 必须 在 permit 或 deny 后 面 指定 合适 的 第 4 层 
注意 (传输 层 ) 协议 。 例如 ， 要 过 滤 Telnet 或 FTP， 可 选择 TCP， 因 为 Telnet 和 FTP 都 使 
用 传输 层 协议 TCP。 如 果 选 择 IP， 你 将 不 能 进一步 指定 应 用 层 协议 ,而 只 能 根据 源 

地 址 和 目标 地 址 进行 过 滤 。 


这 里 ， 选 择 TCP 对 使 用 TCP 的 应 用 层 协 议 进行 过 滤 。 稍 后 ， 还 需要 指定 具体 的 TCP 端口 。 接 下 
来 ， 系统 将 提示 你 指定 源 主机 或 网 络 的 人 P 地 址 (可 选择 any， 即 任意 源 地 址 ): 
Corp(config)#access-list 110 deny tcp ? 
A.B.C.D Source address 
any Any Source host 
host A single source host 


指定 源 地 址 后 ， 便 可 指定 目标 地 址 了 : 


Corp(config)#access-list 1]10 deny tcp any ? 
A.B.C.D Destination address 


any Any destination host 

eq Match only packets on a given port number 

gt Match only packets with a greater port number 
host A single destination host 

1t Match only packets with a lower port number 
neq Match only packets not on a given port number 


range Match only packets in the range of port numbers 
下 面 的 示例 拒绝 所 有 目标 IP 地址 为 172.16.30.2 的 分 组 ， 而 不 管 其 源 IP 地 址 是 什么 : 
Corp(config)#access-list 110 deny tcp any host 172.16.30.2 ? 


ack Match on the ACK bit 

dscp Match packets with given dscp value 

eq Match only packets on a given port number 

established Match established connections 

fin Match on the FIN bit 

fragments Check non-initial fragments 

gt Match only packets with a greater port number 

log Log matches against this entry 

1og-input Log matches against this entry, including input interface 
1t Match only packets with a lower port number 


neq Match only packets not on a given port number 
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precedence ”Match packets with given precedence value 


psh Match on the PSH bit 

range Match only packets in the range of port numbers 
rst Match on the RST bit 

syn Match on the SYN bit 

time-range Specify a time-range 

tos Match packets with given TOS value 

urg Match on the URG bit 

<Cr> 


指定 目标 地 址 后 ， 便 可 指定 要 拒绝 的 服务 了 。 为 此 ， 可 使 用 命令 equal to， 这 里 将 其 简写 为 eq。 
下 面 的 帮助 屏幕 列 出 了 可 用 的 选项 ， 可 使 用 端口 号 ， 也 可 使 用 应 用 程序 名 : 
Corp(Cconfig)#access-1ist 110 deny tcp any host 172.16.30.2 eq ? 
<0-65535> Port number 


bgp Border Gateway Protoco] (179) 
chargen Character generator (19) 

cmd Remote commands (rcmd, 514) 

daytime Daytime (13) 

discard Discard (9) 

domain Domain Name Service (53) 

drip Dynamic Routing Information Protocol (3949) 
echo Echo (7) 

exec Exec (rsh, 512) 

finger Finger (79) 

ftp File Transfer Protocol (21) 
ftp-data FTP data connections (20) 

gopher Gopher (70) 

hostname NIC hostname server (101) 

ident Ident Protocol (113) 

irc Internet Relay Chat (194) 

klogin Kerberos login (543) 

kshel11 Kerberos shell (544) 

1ogin Login (rlogin, 513) 

1pd Printer service (515) 

nntp Network News Transport Protocol (119) 
pim-auto-rp PIM Auto-RP (496) 

pop2 Post Office Protocol v2 (109) 

pop3 Post Office Protocol v3 (110) 

smtp Simple Mail Transport Protocol (25) 
sunrpc Sun Remote Procedure Call (111) 
syslog Syslog (514) 


tacacs TAC Access Control System (49) 
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talk Talk (517) 

telnet Telnet (23) 

time Time (37) 

uucp Unix-to-Unix Copy Program (540) 
whois Nicname (43) 

Www World Wide Web (CHTTP，807) 


下 面 禁止 主机 172.16.30.2 访问 Telnet 服务 〈 端口 23 )。 如 果 用 户 使 用 FTP， 没 有 问题 一 -这 是 允 
许 的 。 命令 1og 在 每 次 到 达 当 前 语句 时 都 显示 一 条 消息 ， 这 对 监视 非法 访问 企图 很 有 帮助 ， 但 只 适用 
于 非 生 产 型 网 络 ， 因 为 在 生产 型 网 络 中 ， 这 会 让 控制 台 消 息 过 载 。 

最 终 的 语句 如 下 : 

Corp(Cconfig)#access-1ist 110 deny tcp any host 172.16.30.2 eq 23 log 

别 忘 了 ， 每 个 访问 控制 列表 末尾 有 一 条 隐 式 的 deny any 语句 。 如 果 将 该 访问 控制 列表 应 用 于 接 
口 ， 还 不 如 关闭 该 接口 ， 因 为 每 个 访问 控制 列表 末尾 都 有 一 条 隐 式 的 deny any 语句 。 因 此 ， 必 须 在 
该 访问 控制 列表 中 添加 如 下 语句 : 

Corp(config)#access-list 110 permit ip any any 


别 忘 了 ，0.0.0.0 255.255.255.255 与 命令 any 等 效 ， 因 此 上 述 语句 与 下 面 的 语句 等 效 : 
Corp(Cconfig)#access-1ist 110 permit ip 0.0.0.0 255.255.255.255 
0.0.0.0 255 .255.255.255 


然而 ， 如 果 输 入 该 语句 并 查看 运行 配置 ， 会 发 现 0.0.0.0 255.255.255.255 被 替换 为 any。 笔 
者 总 是 使 用 any， 因 为 这 样 可 减少 输入 量 。 
创建 访问 控制 列表 后 ， 需 要 将 其 应 用 于 一 个 接口 (使 用 的 命令 与 瑟 标 准 访问 控制 列表 相同 ): 
Corp(config-if)#ip access-group 110 in 
或 者 : 
Corp(config-if)#ip access-group 110 out 
接 下 来 将 通过 一 些 示 例 演示 如 何 使 用 扩展 访问 控制 列表 。 


12.4.1 扩展 访问 控制 列表 示例 1 


这 里 以 前 面 介绍 IP 标准 访问 控制 列表 时 使 用 的 图 12-2 为 例 ， 并 要 禁止 访问 财务 部 LAN 的 主机 
172.16.50.5 的 Telnet 和 FTP 服务 ， 和 
部 的 其 他 所 有 主机 。 

为 此 ， 应 创建 如 下 访问 控制 列表 : 

Lab_A#config t > 

Lab_A(Cconfig)#access-1ist 110 deny tcp any host 172.16.50.5 eq 21 

Lab_ACconfig)#access-list 110 deny tcp any host 172.16.50.5 eq 23 

Lab_ACconfig)#access-1ist 110 permit jp any any 

access-1ist 110 告诉 路 由 器 ， 你 要 创建 一 个 扩展 IP 访问 控制 列表 。tcp 是 网 络 层 报头 的 协议 
字段 ,如 果 不 指定 它 , 就 不 能 使 用 TCP 端口 号 21 和 23 进行 过 滤 ( 这 两 个 端口 号 分 别 表示 FTP 和 Telnet， 
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它们 都 使 用 TCP 来 获得 面向 连接 的 服务 )。 命 令 any 为 源 地 址 ， 表 示 任 何 源 卫 地 址 ， 而 host 表示 接 
下 来 指定 的 是 目标 瑟 地址。 这 个 ACL 的 意思 是 , 除 前 往 主 机 172.16.50.5 的 FTP 和 Telnet PP 数据 流 外 ， 
其 他 数据 流 都 允许 通过 。 


创建 该 扩展 访问 控制 列表 时 ， 也 可 输入 172.16.50.5 0.0.0.0， 代替 host 
注意 172.16.50.5， 这 不 会 有 其 他 差别 ， 除 了 在 运行 配置 中 ， 路 由 器 会 把 172.16.50.5 
0.0.0.0 改 为 host 172.16.50.5。 


创建 访问 控制 列表 后 , 需要 将 其 应 用 于 接口 fa0/1 的 出 站 方向 , 因为 我 们 要 禁止 所 有 FTP 和 Telnet 
数据 流 进入 主机 172.16.50.5。 然 而 ， 如 果 该 访问 控制 列表 是 要 禁止 销售 部 LAN 访问 主机 172.16.50.5， 
则 必须 将 其 放 在 离 信 源 较 近 的 地 方 ， 即 接口 fa0/0; 在 这 种 情况 下 , 需要 将 其 应 用 于 人 站 数据 流 。 创 建 
并 应 用 ACL 之 前 ， 必 须 仔 细 考 虑 当前 的 情形 。 | 

下 面 将 该 访问 列表 应 用 于 接口 fa0/1， 以 禁止 前 往 主 机 172.16.50.5 的 FTP 和 Telnet 数 据 流出 站 : 

Lab_ACconfig)#int fa0/1 

Lab_A(config-if)#ip access-group 110 out 


12.4.2 ”扩展 访问 控制 列表 示例 2 


这 里 将 以 图 12-4 为 例 ， 其 中 有 4 条 LAN 连接 和 1 条 串 行 连接 。 我 们 需要 禁止 Telnet 数 据 流 进入 
与 接口 El1 和 E2 相连 的 网 络 。 

路 由 器 的 配置 应 类 似 于 下 面 这 样 ， 不 过 还 有 其 他 答案 : 

RouterCconfig)#access-1ist 1L110 deny tcp any 172.16.48.0 0.0.15.255 

eq 23 

Router(Cconfig)#access-1ist 110 deny tcp any 172.16.192.0 0.0.63.255 

eq 23 

Router(config)#access-list 110 permit ip any any 

Router(Cconfig)#interface Ethernet 1 

Router(config-if)#ip access-group 110 out 

Router(config-if)#interface Ethernet 2 

Router(config-if)#ip access-group 110 out 

对 于 上 述 配 置 , 需要 理解 如 下 重要 内 容 。 首 先 , 需要 确保 使 用 的 编号 在 要 创建 的 访问 控制 列表 类 
型 要 求 的 范围 内 一 一 这 里 创建 的 是 扩展 访问 控制 列表 ， 因此 编号 必须 为 100~ 199; 其 次 , 需要 确保 指 
定 的 协议 与 上 层 进程 或 应 用 程序 匹配 一 一 这 里 为 TCP 端口 23 ( Telnet )。 

协议 必须 是 TCP, 因为 Telnet 使 用 TCP。 如 果 要 过 滤 的 是 TFTP 数据 流 , 则 应 将 协议 指定 为 UDP， 
因为 TFTP 使 用 UDP。 最 后 , 确保 目标 端口 号 与 要 过 滤 的 应 用 程序 匹配 一 一 这 里 使 用 的 是 端口 23, 它 
对 应 于 Telnet， 因 此 是 正确 的 ; 但 需要 指出 的 是 ， 也 可 以 在 语句 末尾 输入 telnet， 代 蔡 23。 最 后 ， 必 
须 在 访问 控制 列表 未 尾 包含 语句 permit ip any any， 这 让 除 Telnet 分 组 外 的 其 他 所 有 分 组 都 能 前 往 
接口 El 和 E2 连接 的 LAN。 
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12.4.3 ”扩展 访问 控制 列表 示例 3 
下 面 再 介绍 一 个 扩展 ACL 示例 ， 然 后 介绍 命名 ACL。 图 12-5 显示 了 这 个 示例 将 使 用 的 网 络 。 


192.168.177.1 192.168.177.2 192.168.177.3 
主机 A 主机 B 主机 C 


财务 部 DNS WEB 
172.22.89.26 


图 12-5 扩展 ACL 示例 3 


在 这 个 示例 中 , 我 们 只 想 让 主机 B 以 HTTP 方式 访问 财务 部 服务 器 , 但 允许 其 他 数据 流通 过 。 为 
此 ,需要 创建 一 个 包含 3 条 语句 的 扩展 访问 控制 列表 ， 并 将 其 应 用 于 接口 f0/1。 

下 面 利 用 所 学 的 知识 创建 访问 控制 列表 : 

Lab_A#config t 

Lab_A(config)#access-list 110 permit tcp host 192.168.177.2 host 172.22.89.26 eq 80 

Lab_A(config)#access-list 110 deny tcp any host 172.22.89.26 eq 80 

Lab_A(Cconfig)#access-1ist 110 permit ip any any 

这 个 访问 控制 列表 非常 简单 。 首 先 , 需要 允许 主机 B 以 HTTP 方式 访问 财务 部 服务 器 。 然 而 ， 由 
于 需要 允许 其 他 所 有 数据 流 都 通过 ， 因 此 必须 指出 哪些 主机 不 能 以 HTTP 方式 访问 财务 部 服务 器 ， 所 
以 第 二 条 语句 禁止 其 他 所 有 主机 以 HTTP 方式 访问 财务 部 服务 器 。 最 后 ， 人 允许 主机 B 以 HTTP 方式 访 
问 财务 部 服务 器 ， 并 禁止 其 他 所 有 主机 以 HTTP 方式 访问 财务 部 服务 器 后 ,需要 使 用 第 三 条 语句 允许 
其 他 所 有 数据 流 都 通过 。 

这 很 不 错 ， 只 是 要 求 你 做 些 思考 。 但 且慢 ， 事 情 还 没完 ， 还 需 将 该 访问 控制 列表 应 用 于 接口 。 由 
于 扩展 访问 控制 列表 通常 应 用 于 离 信 源 最 近 的 接口 ,因此 应 将 该 访问 控制 列表 应 用 于 接口 Fo/0 的 人 站 
方向 ， 是 这 样 吗 ? 在 这 个 例子 中 ,不 能 遵守 这 种 经 验 规 则 。 它 要 求 只 允许 主机 B 以 HTTP 方式 访问 财 
务 部 服务 器 ; 如 果 将 该 ACL 应 用 于 接口 F0/0 的 入 站 方向 ， 则 分 支 机 构 将 能 够 以 HTTP 方式 访问 财务 
部 服务 器 。 在 这 个 例子 中 ,需要 将 ACL 放 在 离 目的 地 最 近 的 地 方 : 

Lab_ACconfig)#interface fastethernet 0/1 

Lab_A(config-if)#ip access-group 110 out 
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下 面 介绍 如 何 创建 命名 ACL。 


12.4.4 ”命名 ACL 


前 面 说 过 , 命名 访问 控制 列表 只 是 另 一 种 创建 标准 和 扩展 访问 控制 列表 的 方式 。 在 大 中 型 企业 中 ， 
时 间 一 久 , 访问 控制 列表 的 管理 可 能 变 得 非常 麻烦 。 例 如 ， 如 果 要 修改 访问 控制 列表 ,常见 的 做 法 是 
将 其 复制 到 文本 编辑 器 中 ， 对 其 进行 编辑 ， 再 复制 并 粘贴 到 路 由 器 中 。 

这 很 好 , 但 如 果 你 是 那 种 什么 东西 都 想 留 着 的 人 呢 ? 此 时 面临 的 问题 将 是 该 如 何 处理 原 来 的 访问 
控制 列表 ? 将 其 删除 ， 还 是 将 其 保留 下 来 ， 以 便 在 新 访问 控制 列表 中 发 现 问题 时 能 够 继续 使 用 原来 
的 ? 随 着 时 间 的 推移 ， 路 由 器 将 累积 大 量 未 应 用 的 访问 控制 列表 。 这 些 访问 控制 列表 是 做 什么 用 的 
呢 ? 它们 重要 吗 ? 我 是 否 要 需要 它们 ? 为 提供 这 些 问 题 的 答案 ， 可 使 用 命名 访问 控制 列表 。 

运行 中 的 访问 控制 列表 亦 如 此 。 假 设 你 在 一 个 现 有 网 络 的 路 由 器 上 查看 访问 控制 列表 ,发 现 了 长 
33 行 的 访问 控制 列表 177 ( 这 是 一 个 扩展 访问 控制 列表 ), 这 可 能 让 你 有 很 多 疑问 : 它 是 做 什么 用 的 ? 
为 何 会 在 这 里 ”如果 该 访问 控制 列表 使 用 的 是 名 称 FinaceLAN， 而 不 是 编号 177， 这 些 问题 回答 起 来 
是 不 是 要 容易 得 多 ? 

命名 访问 控制 列表 让 你 能 够 使 用 命名 来 创建 和 应 用 标准 和 扩展 访问 控制 列表 , 它们 没有 什么 独特 
之 处 , 只 是 让 你 能 够 以 易于 理解 的 方式 引用 它们 。 另外 , 在 语法 方面 也 存在 细微 的 差别 。 下面 为 图 12.2 
所 示 的 网 络 重 新 创建 标准 访问 控制 列表 ， 但 使 用 命名 访问 控制 列表 : 

Lab_A#config t 

Enter configuration commands, one per line. End with CNTL/Z. 

Lab_ACconfig)#ip access-1ist ? 

extended Extended Acc 
logging Control access list logging 
standard Standard Access List 

注意 到 我 输入 的 是 ip access-1ist, 而 不 是 access-1ist, 这 让 我 能 够 创建 命名 访问 控制 列表 。 
接 下 来 ， 需 要 指出 要 创建 的 是 标准 访问 控制 列表 : 

Lab A(config)#ip access-l1ist standard ? 

<1-99> Standard IP access-list number 
WORD Access-1ist name | 


Lab A(config)#ip access-1ist standard BlockSales 
Lab_A(config-std-nac]l)# 
指出 要 创建 一 个 标准 访问 控制 列表 后 ， 再 指定 名 称 BlockSales。 请 注意 ， 我 原本 可 以 使 用 编号 ， 
但 这 里 没有 这 样 做 ， 而 使 用 了 一 个 描述 性 和 名称。 另外 ， 注 意 输 入 名 称 并 按 回 车 键 后 ， 路 由 器 提示 符 变 
了 。 进 入 命名 访问 控制 列表 配置 模式 后 ， 便 可 配置 命名 访问 控制 列表 了 : 
Lab_ACconfig-std-nac1)#? 
Standard Access List configuration Commands : 
default Set a command to its defauilts 
deny Specify packets to reject 
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exit Exit from access-1ist configuration mode 
no Negate a command or set its defaults 
permit Specify packets to forward 


Lab_A(config-std-nacl)#deny 172.16.40.0 0.0.0.255 
Lab_ACconfig-std-nac1)#permit any 

Lab A(config-std-nacl)#exit 

Lab_ACconfig)#^Z 

Lab_A# 


配置 访问 控制 列表 后 ， 我 退出 了 配置 模式 。 接 下 来 ， 查 看 运行 配置 ， 核 实 该 访问 控制 列表 确实 包 
含 在 路 由 器 中 ， 


Lab_A#show running-config 


! 
ip access-list standard BlockSales 
deny 172.16.40.0 0.0.0.255 
permit any 
! 
确实 创建 了 访问 控制 列表 BlockSales， 它 包含 在 路 由 器 的 运行 配置 中 。 接 下 来 ， 需 要 将 它 应 用 于 
正确 的 接口 : 
Lab_A#config t 
Lab A(config)#int fa0/l 
Lab_A(config-if)#ip access-group BlockSales out 
Lab_ACconfig-if)#^Z 
Lab_A# 


至 此 ,使 用 命名 访问 控制 列表 重新 完成 了 以 前 所 做 的 工作 。 
12.4.5 ”注释 


关键 字 remark 很 重要 ， 它 让 你 能 够 在 IP 标准 和 扩展 ACL 中 添加 注释 。 注 释 很 有 用 ， 可 帮助 你 
理解 ACL。 如 果 没 有 注释 ， 大 量 的 数字 可 能 让 你 陷入 困境 ， 想 不 起 它们 是 什么 意思 。 

注释 可 放 在 permit 或 deny 语句 的 前 面 ， 也 可 放 在 它们 的 后 面 ， 但 强烈 建议 保持 其 位 置 一 致 ， 
以 免 无 法 确定 注释 是 针对 哪 条 permit 或 deny 语句 的 。 

要 在 标准 和 扩展 ACL 中 添加 注释 ， 只 需 使 用 全 局 配置 命令 access-1ist access-1ist number 
remark remark; 要 删除 注释 ， 可 使 用 该 命令 的 no 版 本 。 

下 面 的 示例 演示 了 如 何 使 用 命令 remark: 

R2#config t 

R2(config)#access-list 110 remark Permit Bob from Sales Only To Finance 

R2(config)#access-1ist 110 permit ip host 172.16.40.1 172.16.50.0 0.0.0.255 

R2(config)#access-1ist 110 deny ip 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 
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R2Cconfig)#1ipP access-1ist extended No_Telnet 
R2(config-ext-nacl)#remark Deny all of Sales from Telnetting 
to Marketing 
R2(config-ext-nacl)#deny tcp 172.16.40.0 0.0.0.255 172.16.60.0 0.0.0.255 eq 23 
R2(config-ext-nacl)#permit ip any any 
R2(Cconfig-ext-nacl)#do show run 
[output cut] 
! 
ip access-list extended No_Telnet 
remark Stop all of Sales from Telnetting to Marketing 
deny tcp 172.16.40.0 0.0.0.255 172.16.60.0 0.0.0.255 eq telnet 
permit ip any any 
1 
access-list 110 remark Permit Bob from Sales Only To Finance 
access-list 110 permit ip host 172.16.40.1 172.16.50.0 0.0.0.255 
access-list 110 deny ip 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 
access-1ist 110 permit ip any any 
1 


可 以 分 别 在 一 个 扩展 访问 控制 列表 和 一 个 命名 访问 控制 列表 中 添加 注释 。 然 而 ， 在 命令 show 
access-1ist 的 输出 中 ， 看 不 到 这 些 注释 ， 而 只 能 在 运行 配置 中 看 到 。 


12.5 ”禁用 和 配置 网 络 服务 


默认 情况 下 ， 思 科 IOS 运行 了 一 些 不 必要 的 服务 ， 如 果 不 禁用 它们 ， 它 们 很 可 能 成 为 拒绝 服务 
(DoS ) 攻击 的 目标 。 

DoS 攻击 是 最 常见 的 攻击 ， 因 为 这 种 攻击 最 容易 发 动 。 要 检测 并 防范 这 些 有 害 的 简单 攻击 ， 可 使 
用 软件 和 硬件 工具 ， 如 入 侵 检测 系统 (IDS ) 和 入 侵 防 范 系统 〈 IPS )。 然 而 ， 如 果 不 能 实现 IDS/IPS， 
可 在 路 由 器 上 执行 一 些 基 本 命令 ， 让 路 由 器 更 安全 ， 但 没有 任何 措施 可 确保 当今 的 网 络 绝对 安全 。 

下 面 来 看 看 应 在 路 由 器 上 禁用 的 基本 服务 。 


12.5.1 阻 断 SNMP 分 组 


思科 IOS 默认 允许 从 任何 地 方 远程 接 入 ,因此 除非 你 很 信任 别人 或 很 无 知 ， 否则 绝对 应 该 关注 默 
认 配 置 ， 对 远程 接 入 进行 限制 。 否 则 ， 路 由 器 很 容易 成 为 非法 登录 者 的 攻击 目标 。 这 是 访问 控制 列表 
的 用 武之 地 ， 它 们 确实 能 够 保护 你 的 路 由 器 。 

通过 在 外 围 路 由 器 的 接口 serial0/0 上 配置 如 下 命令 ,可 禁止 任何 SNMP 分 组 进入 该 路 由 器 和 DMZ 
〈 要 让 这 个 访问 控制 列表 真正 发 挥 作 用 ， 还 需 添 加 一 条 permit 语句 ， 但 这 只 是 一 个 示例 而 已 ): 

Lab_B(config)#access-list 110 deny udp any any eq snmp 

Lab_B(config)#interface s0/0 

Lab_B(config-if)#access-group 110 in 
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12.5.2 ”禁用 echo 


你 可 能 不 知道 ， 路 由 器 运行 的 一 些小 型 服务 〈 它们 是 服务 器 或 后 台 程 序 ) 对 诊断 很 有 帮助 。 默 认 
情况 下 ， 思 科 路 由 器 启用 了 一 系列 诊断 端口 ， 以 提供 一 些 UDP 和 TCP 服务 ， 这 包括 echo、chargen 
和 discard。 

主机 连接 到 这 些 端口 后 ， 将 占用 少量 CPU 以 响应 相关 的 请 求 。 只 需 使 用 一 台 攻 击 设备 发 送 大 量 
请 求 ( 这 些 请 求 使 用 伪造 的 随机 源 IP 地 址 )， 就 可 让 路 由 器 不 堪 重 负 ， 使 其 响应 缓慢 甚至 崩 演 。 为 防 
范 chargen 攻击 ， 可 配置 如 下 命令 : 

Lab_B(config)#no service tcp-small-servers 

Lab_B(Cconfig)#no service udp-small-servers 

finger 是 一 个 实用 程序 ， 允 许 因特网 上 的 Unix 主机 用 户 能 够 彼此 获取 对 方 的 信息 ， 应 禁用 这 项 
服务 : 

Lab_B(Cconfig)#no service finger 

finger 命令 可 用 来 获取 有 关 网 络 中 所 有 用 户 和 路 由 器 的 信息 , 这 就 是 应 该 禁用 它 的 原因 。 finger 
是 一 个 远程 执行 的 命令 ， 其 效果 与 在 路 由 器 上 执行 命令 show users 相同 。 

TCP 小 型 服务 包括 以 下 几 种 。 

口 echo: 回 显 输 入 的 内 容 。 要 查看 相关 的 选项 ， 请 执行 命令 telnet x.x.x.x echo ?。 

口 chargen: 生成 ASCI 数据 流 。 要 查看 相关 的 选项 ， 请 执行 命令 telnet x.x.x.x chargen ?。 

口 discard: 丢弃 输入 的 内 容 。 要 查看 相关 的 选项 ， 请 执行 命令 telnet x.x.x.x discard ?。 

口 daytime: 返回 系统 日 期 和 时 间 一 一 如 果 它 们 是 正确 的 。 如 果 运 行 了 NTP 或 在 EXEC 模式 下 手 

工 设 置 了 日 期 和 时 间 ， 它 们 就 是 正确 的 。 要 查看 相关 的 选项 ， 请 执行 命令 telnet x.x.x.x 
daytime ?。 

UDP 小 型 服务 包括 以 下 几 种 。 

口 echo: 回 显 发 送 的 数据 报 的 有 效 负载 。 

口 discard: 悄悄 地 丢弃 发 送 的 数据 报 。 


口 chargen: 丢弃 发 送 的 数据 报 ， 并 以 一 个 字符 串 响应 ， 该 字符 串 包含 72 个 ASCII 字符 ,并 以 
CR + LF 结尾 。 


12.5.3 ”禁用 BootP 和 自动 配置 


同样 ， 默 认 情 况 下 ， 思 科 路 由 器 也 提供 异步 线路 BootP 服务 以 及 远程 自动 配置 服务 。 要 在 思科 路 
由 器 上 禁用 这 些 功能 ， 可 使 用 如 下 命令 

Lab_B(config)#no ip boot server 

Lab_B(config)#no service config 


12.5.4 禁用 HTTP 进程 


对 配置 和 监视 路 由 器 来 说 ,命令 ip http server 可 能 很 有 用 ,但 HTTP 的 明文 特征 显然 是 一 种 
安全 风险 。 要 在 路 由 器 上 禁用 HTTP 进程 ， 可 使 用 如 下 命令 : 
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Lab_B(config)#no ip http server | 
要 在 路 由 器 上 启用 HTTP 服务 器 ， 以 支持 AAA， 可 使 用 全 局 配置 命令 ip http server。 


12.5.5 ”禁用 IP 源 路 由 选择 


人 P 报 头 包含 一 个 源 路 由 ( source-route ) 选项 , 让 源 瑟 主机 可 指定 分 组 穿越 瑟 网 络 时 采用 的 路 由 。 
在 启用 了 源 路 由 选择 的 情况 下 ， 分 组 将 被 转发 到 其 源 路 由 选项 指定 的 路 由 器 地 址 。 要 禁用 根据 报头 中 
的 源 路 由 选项 来 处 理 分 组 ， 可 使 用 如 下 命令 : 


Lab_B(config)#no ip source-route 


12.5.6 ”禁用 代理 ARP 


代理 ARP 是 这 样 一 种 技术 ,， 即 由 一 台 主 机 (通常 是 路 由 器 ) 来 响应 发 送 给 其 他 设备 的 ARP 请 求 。 
通过 “伪造 "身份 ， 路 由 器 承担 了 将 这 些 分 组 转发 给 “实际 ”目的 地 的 职责 。 代 理 ARP 可 让 主机 到 达 远 
程 子 网 ， 而 无 需 配 置 路 由 选择 或 默认 网 关 。 要 禁用 代理 ARP， 可 使 用 下 面 的 命令 : 

Lab_B(config)#interface fa0/0 

Lab_B(config-if)#no ip proxy-arp 

请 在 路 由 器 的 所 有 LAN 接口 上 都 配置 该 命令 。 


12.5.7 ”禁用 重 定向 消息 


路 由 器 使 用 ICMP 重 定向 消息 来 告诉 主机 ， 有 一 条 前 往 特 定 目的 地 的 路 由 更 好 。 为 禁用 重 定向 消 
息 ， 以 防 坏 人 根据 这 种 信息 推断 出 网 络 拓 扑 ， 可 使 用 如 下 命令 :; 

Lab_B(config)#interface s0/0 

Lab_B(config-if)#no ip redirects 

请 在 路 由 器 的 所 有 接口 上 配置 该 命令 。 然 而 ,需要 知道 的 是 ， 这 样 做 后 ,合法 的 用 户 数据 流 可 能 
采用 次 优 路 由 。 因 此 ， 禁 用 这 项 功能 时 要 谨慎 。 


12.5.8 禁止 生成 ICMP 不 可 达 消 息 


要 防止 外 围 路 由 器 告诉 外 部 主机 哪些 子 网 不 存在 ， 进 而 泄露 拓扑 信息 ， 可 使 用 命令 no ip 
unreachables。 应 在 连接 到 外 部 网 络 的 路 由 器 接口 上 配置 该 命令 : 

Lab_B(Cconfig)#interface s0/0 

Lab_B(config-if)#no ip unreachables 


这 里 重申 一 次 ， 在 连接 到 外 部 的 所 有 路 由 器 接口 上 都 配置 这 个 命令 。 


12.5.9 ”禁用 组 播 路 由 缓存 


组 播 路 由 缓存 列 出 了 组 播 路 由 选择 缓存 条 目 ， 这 些 分 组 可 被 人 读 取 ， 带 来 了 安全 威胁 。 要 禁用 组 
播 路 由 缓存 ， 可 使 用 如 下 命令 : 
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Lab_BCconfig)#interface s0/0 
Lab_B(config-if)#no ip mroute-cache 


应 在 所 有 路 由 器 接口 上 配置 该 命令 , 但 这 可 能 降低 合法 组 播 数据 流 的 传输 速度 , 这 样 做 时 应 谨慎 。 


12.5.10 “禁用 维护 操作 协议 


维护 操作 协议 (Maintenance Operation Protocol，MOP ) 是 DECnet 协议 族 中 的 一 种 协议 ， 运 行 在 
数据 链 路 层 和 网 络 层 , 供 上 传 和 下 载 系统 软件 、 远 程 测试 和 故障 诊断 等 服务 使 用 。 谁 还 会 使 用 DECnet 
呢 ? 估计 没 人 用 了 。 要 禁用 这 种 服务 ， 可 使 用 如 下 命令 : 

Lab_B(config)#interface s0/0 

Lab_B(Cconfig-if)#no mop enabled 


请 在 所 有 路 由 器 接口 上 配置 该 命令 。 


12.5.11 关闭 X.25 PAD 服务 


分 组 拆 装 器 ( Packet Assembler/Disassembler，PAD ) 将 终端 和 计算 机 等 异步 设备 连接 到 公共 /私有 
X.25 网 络 。 鉴 于 当前 的 每 台 计 算 机 都 使 用 卫 ，X.25 已 经 淘汰 了 ， 因 此 没有 理由 运行 该 服务 。 要 禁用 
PAD 服务 ， 可 使 用 如 下 命令 : 


Lab_B(config)#no service pad 


12.5.12 ”启用 Nagle TCP 拥塞 算法 


Nagle TCP 拥塞 算法 避免 小 型 分 组 导致 的 拥塞 很 有 用 , 但 如 果 使 用 的 MTU 设置 比 默认 值 ( 1500B ) 
大 ， 这 种 算法 可 能 导致 负载 超过 平均 水 平 。 要 启用 该 服务 ， 可 使 用 如 下 命令 : 

Lab_B(config)#service nagle 

需要 知道 的 是 ，Nagle 拥塞 服务 可 能 导致 到 Xserver 的 XWindow 连接 断 开 ， 因 此 如 果 使 用 的 是 
XWindow， 请 不 要 启用 该 服务 。 


12.5.13 ”将 所 有 事件 都 写 入 日 志 


用 作 Syslog 服务 器 时 ， 思 科 ACS 服务 器 可 将 事件 写 人 日 志 ， 供 你 查看 。 要 启用 这 项 功能 ， 可 使 
用 命令 1ogging trap debugging (或 logging trap Teve1) 和 1ogging ip_address: 

Lab_B(config)#1logging trap debugging 
Lab_B(Cconfig)#logging 192.168.254.251 
Lab_B(config)#exit 
Lab_B#sh logging 
Syslog logging: enabled (0 messages dropped, 0 flushes，0 overruns) 

Console logging: level debugging, 15 messages logged 

Monitor logging: level debugging, 0 messages logged 

Buffer logging: disabled 

Trap logging: level debugging, 19 message lines logged 

Logging to 192.168.254.251, 1 message lines logged 
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命令 show 1ogging 提供 有 关 路 由 器 日 志 配 置 的 统计 信息 。 


12.5.14 ”禁用 思科 发 现 协 议 


顾名思义 ,思科 发 现 协 议 ( CDP ) 发 现 直 接 相连 的 思科 网 络 设备 , 这 是 一 种 思科 专用 协议 。 然 而 ， 
由 于 它 是 一 种 数据 链 路 层 协 议 ， 因 此 无 法 发 现 路 由 器 另 一 边 的 思科 设备 。 另 外 ,默认 情况 下 ， 思 科 交 
换 机 不 转发 CDP 分 组 ， 因 此 无 法 发 现 交换 机 端口 连接 的 思科 设备 。 

组 建 网 络 时 ，CDP 确实 很 有 用 。 但 熟悉 该 网 络 并 编写 文档 后 ， 就 不 再 需要 CDP 了 。 鉴 于 CDP 可 
用 于 发 现 网 络 中 的 思科 路 由 器 和 交换 机 ， 应 将 其 禁用 。 可 在 全 局 配置 模式 下 设置 ， 这 将 在 交换 机 或 路 
由 器 上 完全 关闭 CDP: 


Lab_B(config)#no cdp run 
也 可 使 用 如 下 命令 在 每 个 接口 上 禁用 CDP: 
Lab_B(config-if)#no cdp enable 


12.5.15 ”禁止 转发 UDP 协议 分 组 


像 下面 这 样 在 接口 上 配置 命令 ip helper-address 后 ， 路 由 器 将 把 UDP 广播 转发 到 指定 的 服 
务 器 : 

Lab_B(config)#interface f0/0 

Lab_B(Cconfig-if)#ip helper-address 192.168.254.251 

在 需要 将 DHCP 客户 端 请 求 转发 给 DHCP 服务 器 时 ， 通 常 使 用 命令 ip helper-address。 但 问 
题 是 ， 这 不 仅 会 转发 前 往 端口 67 的 分 组 (BOOTP 服务 器 请 求 )， 默 认 还 会 转发 前 往 其 他 7 个 端口 的 
分 组 。 要 禁止 转发 前 往 这 些 端 口 的 分 组 ， 可 使 用 如 下 命令 : 

Lab_B(config)#no ip forward-protocol udp 69 

Lab_B(config)#no ip forward-protocol udp 53 

Lab_B(config)#no ip forward-protocol udp 37 

Lab_B(Cconfig)#no ip forward-protocol udp 137 

Lab_B(Cconfig)#no ip forward-protocol udp 138 

Lab_8(config)#no ip forward-protocol udp 68 

Lab_B(config)#no ip forward-protocol udp 49 


这 样 ,将 只 会 把 BOOTP 服务 器 请 求 ( 对 应 的 端口 为 67 ) 转发 给 DHCP 服务 器 。 如 果 要 转发 前 往 
特定 端口 的 分 组 (如 TACACS+ 分 组 )， 可 使 用 如 下 命令 : 


Lab_B(config)#ip forward-protocol udp 49 


12.5.16 思科 auto secure 


要 创建 并 应 用 ACL, 需要 做 的 工作 量 很 大 , 而 关闭 前 面 讨论 的 所 有 服务 亦 如 此 。 可 你 确实 应 该 使 
用 ACL 来 确保 路 由 器 的 安全 ， 尤 其 是 连接 到 因特网 的 接口 ; 然而 ， 你 可 能 不 确定 最 佳 的 方法 是 什么 ， 
或 者 不 想 因 整 夜 创建 ACL 和 禁用 默认 服务 而 耽误 与 朋友 玩乐 。 
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无 论 是 哪 种 情况 ， 思 科 提 供 的 解决 方案 都 是 一 个 很 好 的 起 点 ， 而 这 种 解决 方案 也 很 容易 实现 。 这 
种 解决 方案 就 是 使 用 命令 auto secure， 只 需 在 特权 模式 下 运行 它 ， 如 下 所 示 : 


R1#auto secure 
--- AutoSecure Configuration --- 


xx*# AutoSecure configuration enhances the security of 
the router, but it will not make it absolute1y resistant 
to all security attacks *** 


AutoSecure will modify the configuration of your device. 

Alil configuration changes will be shown. For a detailed 
explanation of how the configuration changes enhance 

security and any possible side effects, please refer to Cisco.com 
for Autosecure documentation. 

At any prompt you may enter '?' for help. 

Use ctrl-c to abort this session at any prompt. 


Gathering information about the router for AutoSecure 
Is this router connected to internet? [no]: yes 
Enter the number of interfaces facing the internet [11: [enter] 


Interface IP-Address OK? Method Status Protocol 
fastEthernet0/0 10.10.10.1 YES NVRAM up . up 
Serial0/0 Lal 1 YES NVRAM down down 
FastEthernet0/I unassigned YES NVRAM administratively down down 
Serial0/1 unassigned YES NVRAM administratively down down 


Enter the interface name that is facing the internet: seriali0/0 


Securing Management plane services... 
Disabling service finger 

Disabling service pad 

Disabling udp & tcp small servers 
Enabling service password encryption 
Enabling service tcp-keepalives-in 
Enabling service tcp-keepalives-out 
Disabling the cdp protocol 


Disabling the bootp server 

Disabling the http server 

Disabling the finger service 

Disab1ing source routing 

Disabling gratuitous arp ~ 
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Here is a sample Security Banner to be shown 
at every access to device. Modify it to suit your 
enterprise requirements. 


Authorized Access only 
This system is the property of So-&-So-Enterprise. 
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED. 
You must have explicit permission to access this 
device. All activities performed on this device 
are logged. Any violations of access policy will result 
in disciplinary action. 


Enter the security banner {Put the banner between 
k and k, where k is any character}: 
# 
If you are not part of the www.globalnettc.com domain, disconnect now! 
# 
Enable secret is either not configured or 
is the same as enable password 
Enter the new enable secret: [password not shown] 


% Password too short - must be at least 6 characters. Password configuration 
failed 


Enter the new enable secret: [password not shown] 

Confirm the enable secret : [password not shown] 

Enter the new enable password: [password not shown] 
Confirm the enable password: fpassword not shown] 
Configuration of Tocal user database 

Enter the username: Todd 

Enter the password: [password not shown] 

Confirm the password: [password not shown] 

Configuring AAA local authentication 

Configuring Console, Aux and VTY lines for 

local authentication, exec-timeout, and transport 

Securing device against Login Attacks 

Configure the following parameters 

Bliocking Period when Login Attack detected: ? 

% A decimal number between 1 and 32767. 

Blocking Period when Login Attack detected: 100 

Maximum Login failures with the device: 5 

Maximum time period for crossing the failed login attempts: 10 
Configure SSH server? [yes]: [enter to take default of yes] 
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Enter the domain-name: 1amm1e .com 
Configuring interface specific AutoSecure services 
Disabling the following ip services on all interfaces: 


no ip redirects 

no ip proxy-arp 

no ip unreachables 

no ip directed-broadcast 

no ip mask-reply 
Disabling mop on Ethernet interfaces 


Securing Forwarding plane services... 


Enabling CEF (This might impact the memory requirements for your piatform) 
Enabling unicast rpf on all interfaces connected 
to internet 


Configure CBAC Firewall feature? [yes/no]: 

Configure CBAC Firewall feature? [yes/no]: no 

Tcp intercept feature is used prevent tcp syn attack 

on the servers in the network. Create autosec tcp_intercept_list 
to form the list of servers to which the tcp traffic is to 

be observed 


Enable tcp intercept feature? [yes/no]: yes 

就 这 么 简单 ! 前 面 提 到 的 服务 都 被 禁用 了 ， 还 禁用 了 其 他 一 些 服务 ! 将 命令 auto secure 创建 
的 配置 保存 后 ， 就 可 在 运行 配置 中 查看 新 配置 了 。 它 很 长 ! 

你 可 能 很 想 马 上 出 去 欢度 美好 时 光 ， 但 还 需 核实 安全 配置 ， 并 配置 访问 控制 列表 。 

既然 说 到 访问 控制 列表 ， 下 面 就 介绍 如 何 监 视 和 验证 ACL， 这 是 一 个 很 重要 的 主题 。 


12.6 ”监视 访问 控制 列表 
验证 路 由 器 的 访问 控制 列表 配置 很 重要 ， 表 12-1 列 出 了 用 于 验证 这 种 配置 的 命令 。 
表 12-1 验证 访问 控制 列表 配置 的 命令 


命令 作 用 
show access-list 显示 路 由 器 中 配置 的 所 有 访问 控制 列表 及 其 参数 , 但 不 会 指出 访问 控制 列表 应 用 于 
哪个 接口 
show access-1ist 110 只 显示 访问 控制 列表 110 的 参数 ， 但 不 会 指出 该 访问 控制 列表 应 用 于 哪个 接口 
show ip access-1ist 只 显示 路 由 器 上 配置 的 耻 访 问 控制 列表 
show ip interface 显示 应 用 了 访问 控制 列表 的 接口 


show running-config 显示 访问 控制 列表 以 及 应 用 了 访问 控制 列表 的 接口 
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前 面 使 用 过 命令 show running-config 来 核实 命名 访问 控制 列表 是 否 包含 在 路 由 器 中 ， 因 此 这 
里 只 介绍 其 他 命令 。 
命令 show access-1ist 会 列 出 路 由 器 中 的 所 有 访问 控制 列表 ， 而 不 管 它们 是 否 应 用 于 接口 : 
Lab_A#show acCess-1ist 
Standard IP access list 10 
deny 172.16.40.0, wildcard bits 0.0.0.255 
permit any 
Standard IP access 11st BliockSales 
deny 172.16.40.0, wildcard bits 0.0.0.255 
permit any 
Extended IP access list 110 
deny tcp any host 172.16.30.5 eq ftp 
deny tcp any host 172.16.30.5 eq telnet 
permit ip any any 
Lab_A# 


首先 ， 注 意 输出 中 包含 访问 控制 列表 10 和 一 个 命名 访问 控制 列表 。 其 次 ， 注 意 到 虽然 在 创建 访 
问 控制 列表 110 的 指定 的 是 TCP 端口 号 ， 但 为 提高 可 读 性 ， 该 show 命令 显示 的 是 协议 名 而 不 是 TCP 
端口 号 。 

下 面 是 命令 show ip interface 的 输出 : 

Lab_A#show ip interface fa0/l 

FastEthernet0/1 is up, line protocol is up 

Internet address is 172.16.30.1/24 

Broadcast address is 255.255.255.255 

Address determined by non-volatile memory 

MTU is 1500 bytes 

Helper address is not set 

Directed broadcast forwarding is disabled 

Qutgoing access list is BlockSales 

Inbound access list is not set 

Proxy ARP is enabled 

Security level is default 

Split horizon is enabled 

ICMP redirects are always sent 

ICMP unreachables are always sent 

ICMP mask replies are never sent 

IP fast switching is disabled 

IP fast switching on the same interface is disabled 
IP Null turbo vector ey i 

IP multicast fast switching is disabled 

IP multicast distributed fast switching is disabled 
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Router Discovery is disabled 
IP output packet accounting is disabled 
IP access violation accounting is disabled 
TCP/IP header compression is disabled 
RTP/IP header compression is disabled 
Probe proxy name replies are disabled 
Policy routing is disabled 
Network address translation is disabled 
Web Cache Redirect is disabled 
BGP Policy Mapping is disabled 
Lab_A# 
请 注意 其 中 以 粗 体 显示 的 一 行 ， 它 表明 对 该 接口 应 用 了 出 站 访问 控制 列表 BlockSales， 但 没有 应 
用 入 站 访问 控制 列表 。 前 面 说 过 ， 要 查看 所 有 的 访问 控制 列表 ， 可 使 用 命令 show running-config。 


12.7 小结 


本 章 介绍 了 如 何 配 置 标准 访问 控制 列表 , 以 便 对 让 数据 流 进行 适当 的 过 滤 。 我 们 学 习 了 标准 访问 
控制 列表 是 什么 ， 以 及 如 何 将 其 应 用 于 思科 路 由 器 接口 ， 以 改善 网 络 安全 。 我 们 还 学 习 了 如 何 配置 扩 
展 访问 控制 列表 , 以 进一步 过 滤 下 数据 流 。 笔 者 讨论 了 标准 访问 控制 列表 和 扩展 访问 控制 列表 之 间 的 
差别 ， 以 及 如 何 将 它们 应 用 于 思科 路 由 器 接口 。 

接 下 来 ,介绍 了 如 何 配置 命名 访问 控制 列表 并 将 其 应 用 于 路 由 器 接口 。 命 名 访问 控制 列表 的 优点 
在 于 易于 识别 ， 相 对 于 使 用 模糊 编号 的 访问 控制 列表 ， 管 理 起 来 要 容易 得 多 。 

本 章 还 包含 很 有 趣 的 一 节 : 禁用 默认 服务 。 我 发 现 执行 这 项 管理 任务 很 有 趣 ， 而 使 用 命令 auto 
secure 可 在 路 由 器 上 完成 基本 而 必需 的 安全 配置 。 

最 后 ， 本 章 介绍 了 如 何 监 视 和 验证 路 由 器 的 访问 控制 列表 配置 。 


12.8 考试 要 点 


牢记 标准 IP 访问 控制 列表 和 扩展 IP 访问 控制 列表 的 编号 范围 。 配 置 标准 卫 访问 控制 列表 时 ， 可 
使 用 的 编号 范围 为 1~99 和 1300~1999; 而 扩展 中 访问 控制 列表 的 编号 范围 为 100 一 199 和 2000 一 2699。 

理解 隐 式 deny 语句 。 在 每 个 访问 控制 列表 末尾 , 都 有 一 条 隐 式 的 deny 语句 。 这 意味 着 如 果 分 组 
不 满足 访问 控制 列表 中 的 任何 条 件 ， 它 将 被 丢弃 。 另 外 ， 如 果 访 问 控制 列表 中 只 包含 deny 语句 ， 它 
将 不 允许 任何 分 组 通过 。 

理解 配置 标准 IP 访问 控制 列表 的 命令 。 要 配置 标准 卫 访问 控制 列表 ， 可 在 全 局 配置 模式 下 使 用 
访问 控制 列表 编号 1~ 99 或 1300~ 1999, 然后 选择 permit 或 deny, 再 使 用 本 章 介绍 的 3 种 方式 指定 
要 用 来 过 滤 的 源 卫 地 址 。 

理解 配置 扩展 IP 访问 控制 列表 的 命令 。 要 配置 扩展 全 访问 控制 列表 ， 可 在 全 局 配置 模式 下 使 用 
访问 控制 列表 编号 100~ 199 或 2000 一 2699, 然后 依次 选择 permit 或 deny、 网 络 层 协议 、 源 全 地 址 、 
目标 中 地址 和 传输 层 端口 号 〈( 如 果 将 协议 指定 为 TCP 或 UDP )。 

牢记 用 于 查看 应 用 于 路 由 器 接口 的 访问 控制 列表 的 命令 。 要 查看 接口 上 是 否 应 用 了 访问 控制 列表 
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以 及 过 滤 的 方向 ， 可 使 用 命令 show ip interface。 这 个 命令 不 会 显示 访问 控制 列表 的 内 容 ， 而 只 
指出 在 接口 上 应 用 了 哪些 访问 控制 列表 。 

牢记 用 于 验证 访问 控制 列表 配置 的 命令 。 要 查看 在 路 由 器 上 配置 的 访问 控制 列表 ， 可 使 用 命令 
show access-1ist。 这 个 命令 不 会 指出 访问 控制 列表 被 应 用 于 哪个 接口 。 


12.9 书面 实验 12 


请 回答 下 述 问题 。 

(1) 要 配置 一 个 标准 全 访问 控制 列表 ,禁止 网 络 172.16.0.0/16 中 的 所 有 主机 访问 以 太 网 ， 使 用 什 
么 命令 ? 

(2) 要 将 问题 (1) 中 创建 的 访问 控制 列表 应 用 于 一 个 以 太 网 接口 的 出 站 方向 ， 使 用 什么 命令 ? 

(3) 要 创建 一 个 访问 控制 列表 ， 禁 止 主机 192.168.15.5 访问 一 个 以 太 网 ， 使 用 什么 命令 ? 

(4) 要 核实 你 创建 的 访问 控制 列表 是 否 正确 ， 使 用 什么 命令 ? 

(5) 哪 两 种 工具 可 检测 和 防范 DoS 攻击 ? 
(6) 要 创建 一 个 扩展 访问 控制 列表 ， 禁 止 主机 172.16.10.1 远程 登录 到 主机 172.16.30.5， 使 用 什么 
命令 ? 

(7) 要 将 访问 控制 列表 应 用 于 VTY 线路 ， 使 用 哪个 命令 ? 

(8) 按 问 题 (1) 的 要 求 编写 一 个 命名 访问 控制 列表 。 

(9) 编写 命令 ,将 你 在 问题 (8) 中 创建 的 命名 访问 控制 列表 应 用 于 一 个 以 太 网 接口 的 出 站 方向 。 

(10) 要 查看 访问 列表 被 应 用 于 哪个 接口 以 及 什么 方向 ， 可 使 用 哪个 命令 ? 

(该 书面 实验 的 答案 见 本 章 复 习题 答案 的 后 面 。) 


12.10 ”动手 实验 


在 本 节 中 , 你 需要 完成 两 个 实验 。 要 完成 这 些 实验 ， 至少 需 要 3 台 路 由 器 。 使 用 程序 Cisco Packet 
Tracer 可 轻松 完成 这 些 实验 。 如 果 你 要 参加 CCNA 考试 ， 至 少 应 该 完成 以 下 实验 。 

动手 实验 12.1: 标准 中 访问 控制 列表 。 

动手 实验 12.2: 扩展 他 访问 控制 列表 。 

在 所 有 这 些 动手 实验 中 ， 都 需要 配置 下 述 示意 图 中 的 路 由 器 。 


Host A Host C 
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12.10.1 动手 实验 12.1: 标准 IP 访问 控制 列表 


在 这 个 实验 中 ， 只 人 允许 来 自 网 络 172.16.30.0 中 Host B 的 分 组 进入 网 络 172.16.30.0。 
(1) 在 Lab_A 中 ， 执 行 命令 config t 进入 全 局 配置 模式 。 
(2) 在 全 局 配置 模式 下 ,输入 access-1ist ? 列 出 各 种 访问 控制 列表 编号 范围 。 
(3) 选择 一 个 下 标准 访问 控制 列表 可 用 的 编号 ， 即 它 在 范围 1~99 或 1300~1999 内 。 
(4) 输入 permit 172.16.30.2(Host B 的 地 址 ): 
Lab_A(Cconfig)#access-1ist 10 permit 172.16.30.2 ? 
A.B.C.D Wildcard bits 
<cr> 
要 指定 只 允许 来 自主 机 172.16.30.2 的 数据 流通 过 ， 可 使 用 通配符 掩 码 0.0.0.0: 
Lab_A(config)#access-1list 10 permit 172.16.30.2 
0.0.0.0 3 
(5) 创建 访问 控制 列表 后 ， 要 让 它 发 挥 作用 ， 必 须 将 它 应 用 于 一 个 接口 : 
Lab_A(Cconfig)#int f0/0 
Lab_ACconfig-if)#ip access-group 10 out 
(6) 使 用 下 面 的 命令 验证 该 访问 控制 列表 : 
Lab_A#sh access-1ist 
Standard IP access list 10 
permit 172.16.30.2 
Lab_A#sh run 
[output cut] 
interface FastEthernet0/0 
ip address 172.16.10.1 255.255.255.0 
ip access-group 10 out 


(7) 从 Host_B ( 172.16.30.2 ) ping Host_A (172.16.10.2 )， 对 该 访问 控制 列表 进行 测试 。 


(8) 从 Lab B 和 Lab_C ping Host A (172.16.10.2 ); 如 果 访 问 控制 列表 配置 正确 ， 这 些 ping 操作 
将 失败 。 


12.10.2 动手 实验 12.2: 扩展 IP 访问 控制 列表 


在 这 个 实验 中 , 配置 一 个 扩展 中 访问 控制 列表 , 以 禁止 主机 172.16.102 创建 到 Lab B (172.16.20.2) 
的 Telnet 会 话 , 但 该 主机 应 该 能 够 ping 路 由 器 Lab_B。 IP 扩展 访问 控制 列表 应 放 在 离 信 源 尽 可 能 近 的 
地 方 ， 因 此 将 在 路 由 器 Lab_A 上 配置 该 访问 控制 列表 。 
(1) 删除 Lab_A 的 所 有 访问 控制 列表 ， 再 添加 一 个 扩展 访问 控制 列表 。 
(2) 选择 一 个 扩展 正 访 问 控制 列表 可 用 的 编号 ， 即 它 在 范围 100~199 或 2000~2699 内 。 
(3) 选择 deny 语句 (第 (7) 步 将 添加 一 条 permit 语句 ， 让 其 他 所 有 数据 流 都 通过 ): 
Lab _ACconfig)#access-list 110 deny ? 
<0-255> An IP protocol number 
ahp Authentication Header Protoco]l 
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eigrp Cisco's EIGRP routing protocol 


esp Encapsulation Security Payload 
gre Cisco's GRE tunneling 

icmp Internet Control Message Protocol 
igmp Internet Gateway Message Protoco] 
igrp Cisco's IGRP routing protocol 

ip Any Internet Protocol 

ipinip IP in IP tunneling 

nos KA9Q NOS compatible IP over IP tunneling 
ospf OSPF routing protocol 

pcp Payload Compression Protocol 

tcp Transmission Control Protoco] 

udp User Datagram Protocol 


(4) 鉴于 你 要 禁止 Telnet 数据 流通 过 ， 因 此 必须 将 传输 层 协议 指定 为 TCP: 
Lab_A(Cconfig)#access-list 110 deny tcp ? 

A.B.C.D Source address 

any Any source host 

host A single source host 


(5) 指定 要 用 于 过 滤 的 源 全 地址, 再 指定 目标 下地 址 。 请 使 用 关键 字 host, 而 不 使 用 通配符 掩 码 : 
Lab_A(Cconfig)#access-1ist 110 deny tcp host 
172.16.10.2 host 172.16.20.2 ? 


ack Match on the ACK bit 

eq Match only packets on a given port 
number 

established Match established connections 

fin Match on the FIN bit 

fragments Check fragments 

gt Match only packets with a greater 
port number 

1og Log matches against this entry 


10g-input Log matches against this entry, 
including input interface 


1t Match only packets with a lower port 
number 
ned Match only packets not on a given 


port number 
precedence Match packets with given precedence 
. value } | ， 1 
psh Match on the PSH bit 
range Match only packets in the range of 
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port numbers 


rst . Match on the RST bit 

syn Match on the SYN bit 

tos Match packets with given TOS value 
urg Match on the URG bit 

<cr> 


(6) 现在 ， 输 入 eq telnet， 以 禁止 主机 172.16.10.2 远程 登录 到 172.16.20.2。 在 语句 末尾 ， 也 可 
添加 命令 10g， 这 样 每 当 到 达 这 条 语句 时 ， 都 将 在 控制 台 显 示 一 条 消息 。 
Lab_ACconfig)#access-1ist 110 deny tcp host 
172.16.10.2 host 172.16.20.2 eq telnet log 
(7) 添加 下 面 一 行 ， 以 创建 一 条 permit 语句 ， 这 很 重要 ( 别 忘 了 ,0.0.0.0 255.255.255.255 
与 命令 any 等 价 )。 
Lab_A(config)#access-list 110 permit ip any 0.0.0.0 
255.255.255.255 
必须 创建 一 条 permit 语句 ; 如 果 只 创建 一 条 deny 语句 ， 任 何 数据 流 都 不 能 通过 。 每 个 ACL 末 
尾 都 有 一 条 隐 式 的 deny any 语句 ， 有 关 该 语句 的 详细 信息 ， 请 参阅 正文 。 
(8) 将 这 个 访问 控制 列表 应 用 于 路 由 器 Lab_A 的 接口 fb/0， 让 Telnet 数据 流 到 达 第 一 个 路 由 器 接 
口 就 被 丢弃 。 
Lab A(config)#int f0/0 
Lab_A(config-if)#ip access-group 110 in 
Lab_ACconfig-if)#^2Z 
(9) 尝试 从 主机 172.16.10.2 远程 登录 到 Lab_A 一 一 使 用 目标 下 地 址 172.16.20.2。 然 而 ，ping 该 路 
由 器 时 应 该 成 功 : 
From host 172.16.10.2: C:\>telnet 172.16.20.2 
在 路 由 器 Lab_A 的 控制 台中 ， 应 显示 如 下 消息 : 
01:11:48: %SEC-6-IPACCESSLOGP: 1ist 110 denied tcp 
172.16.10.2(1030) -> 172.16.20.2(23), 1 packet 
01:13:04: %SEC-6-IPACCESSLOGP: 1ist 110 denied tcp 
172.16.10.2(1030) -> 172.16.20.2(23), 3 packets 


12.11 复习 题 


下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
注意 ” 信息 ， 请 参阅 本 书 的 前 言 。 


(1) 下 面 哪 项 是 标准 全 访 问 控 制 列表 ? 
A.access-list 110 permit host 1.1.1.1 
B.access-list 1 deny 172.16.10.1 0.0.0.0 
C.access-list 1 permit 172.16.10.1 255.2 
D.access-list standard 1.1.1.1 


(2) 要 禁止 来 自 网 络 192.168.160.0 一 192.168.191.0 的 数据 流通 过 ， 使 用 下 面 哪 个 访问 控制 列表 ? 
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. access-list 10 deny 192.168.160.0 255.255.224.0 
access-list 10 deny 192.168.160.0 0.0.191.255 
access-l1ist 10 deny 192.168.160.0 0.0.31.255 
access-list 10 deny 192.168.0.0 0.0.31.255 
(3) 你 创建 了 一 个 名 为 Blocksales 的 命名 访问 控制 列表 , 要 将 其 应 用 于 路 由 器 接口 s0 的 人 站 方向 , 可 使 

用 下 面 哪个 命令 ? 

A. (config)#ip access-group 110 in 

B. (config-if)#ip access-group 110 in 

C. (config-if)#ip access-group Blocksales in 

D. (config-if)#Blocksales ip access-list in 


(4) 要 在 卫 访问 控制 列表 中 只 指定 主机 172.16.30.55， 可 使 用 下 面 哪 两 种 方式 ? 


de 


A.172.16.30.55 0.0.0.255 B. 172.16.30.55 0.0.0.0 
C. any 172.16.30.55 D. host 172.16.30.55 
E. 0.0.0.0 172.16.30.55 F. ip any 172.16.30.55 


(5) 下 面 哪个 访问 控制 列表 只 允许 HTTP 数据 流 进 入 网 络 196.15.7.0? 
A. access-]1ist 100 permit tcp any 196.15.7.0 0.0.0.255 eq ww 
B. access-list 10 deny tcp any 196.15.7.0 eq ww 
C. access-list 100 permit 196.15.7.0 0.0.0.255 eq ww 
D. access-l1ist 110 permit ip any 196.15.7.0 0.0.0.255 
E. access-list 110 permit www 196.15.7.0 0.0.0.255 


(6) 下 面 哪个 路 由 器 命令 能 够 让 你 确定 在 特定 接口 上 是 否 应 用 了 焉 访问 控制 列表 ? 


A. show ip port B. show access-1ists 

C. show ip interface D. show access-lists interface 
(7) 下 面 哪个 路 由 器 命令 让 你 能 够 查看 所 有 访问 控制 列表 的 全 部 内 容 ? 

A. Router#show interface B. Router>show ip interface 

C. Router#show access-lists D. Router>show all access-lists 


(8) 如 果 只 禁止 所 有 到 网 络 192.168.10.0 的 Telnet 连接 ， 可 使 用 下 面 哪个 命令 ? 
A.access-list 100 deny tcp 192.168.10.0 255.255.255.0 eq telnet 
B.access-list 100 deny tcp 192.168.10.0 0.255.255.255 eq telnet 
C. access-1ist 100 deny tcp any 192.168.10.0 0.0.0.255 eq 23 
D. access-1ist 100 deny 192.168.10.0 0.0.0.255 any eq 23 
(9) 如 果 要 禁止 从 网 络 200.200.10.0 以 FTP 方式 访问 网 络 200.199.11.0， 但 允许 其 他 所 有 数据 流通 过 ， 
可 使 用 下 面 哪 一 项 命令 ? 
A. access-1ist 110 deny 200.200.10.0 to network 200.199.11.0 eq ftp 
access-list 111 permit ip any 0.0.0.0 255.255.255.255 
B. access-list 1 deny ftp 200.200.10.0 200.199.11.0 any any 
C. access-list 100 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 
D. access-1list 198 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 
access-list 198 permit ip any 0.0.0.0 255.255.255.255 
(10) 要 创建 一 个 标准 访问 控制 列表 ， 以 禁止 来 自主 机 172.16.50.172/20 所 属 子 网 的 数据 流通 过 ， 应 该 首 
先 创建 下 面 哪 条 语句 ? 
A.access-list 10 deny 172.16.48.0 255.255.240.0 
B. access-1ist 10 deny 172.16.0.0 0.0.255.255 
C.access-l1ist 10 deny 172.16.64.0 0.0.31.255 
D. access-11st 10 deny 172.16.48.0 0.0.15.255 


(11) 要 将 访问 控制 列表 应 用 于 路 由 器 接口 ， 可 使 用 下 面 哪个 命令 ? 


A. ip access-1ist 101 out B.access-list ip 101 in 


0. 
0 


oo 


.0.255 eq ftp 
0.255 eq ftp 


12.11 复习 题 499 


C.ip access-group 101 in D. access-group jp 101 in 
(12) 要 创建 一 个 标准 访问 控制 列表 ， 以 禁止 来 自主 机 172.16.198.94/19 所 属 子 网 的 数据 流通 过 ， 应 该 首 


先 创建 下 面 哪 条 语句 ? 
A.access-list 10 deny 172.16.192.0 0.0.31.255 
B.access-list 10 deny 172.16.0.0 0.0.255.255 
C.access-list 10 deny 172.16.172.0 0.0.31.255 
D. access-1ist 10 deny 172.16.188.0 0.0.15.255 


(13) 要 创建 一 个 标准 访问 控制 列表 ， 以 禁止 来 自主 机 172.16.144.17/21 所 属 子 网 的 数据 流通 过 ， 应 该 首 


先 创建 下 面 哪 条 语句 ? 
A.access-list 10 deny 172.16.48.0 255.255.240.0 
B.access-list 10 deny 172.16.144.0 0.0.7.255 
C.access-list 10 deny 172.16.64.0 0.0.31.255 
D.access-list 10 deny 172.16.136.0 0.0.15.255 


(14) 要 将 访问 控制 列表 110 应 用 于 接口 ethernet0 的 人 站 方向 ， 可 使 用 下 面 哪个 命令 ? 
A. Router(Cconfig)#ip access-group 110 in 
B. Router (config)#ip access-1ist 110 in 
C. Router (config-if)#ip access-group 110 in 
D. Router(config-if)#ip access-list 110 in 
(15) 下 面 哪个 命令 只 允许 前 往 主机 1.1.1.1 的 SMTP 邮件 通过 ? 
A. access-1ist 10 permit smtp host 1.1.1.1 
B. access-1ist 110 permit ip smtp host 1.1.1.1 
C.access-list 10 permit tcp any host 1.1.1.1 eq smtp 
D. access-1ist 110 permit tcp any host 1.1.1.1 eq smtp 
(16) 你 配置 了 如 下 访问 控制 列表 : 
access-list 110 deny tcp 10.1.1.128 0.0.0.63 any eq smtp 


access-list 110 deny tcp any any eq 23 
int ethernet 0 
ip access-group 110 out 


请 问 这 将 导致 什么 样 的 结果 ? 
A. Email 和 Telnet 数据 流 可 从 接口 E0 出 去 
B. Email 和 Telinet 数据 流 可 从 接口 E0 进来 
C. 除 Email 和 Telnet 外 的 其 他 数据 流 都 可 从 接口 E0 出 去 
D. 任何 了 正 数 据 流 都 不 能 从 接口 E0 出 去 
(17) 下 面 哪 一 项 命令 禁止 以 Telnet 方式 访问 路 由 器 ? 
A. Lab_A(Cconfig)#access-1ist 10 permit 172.16.1.1 
Lab_A(config)#1ine con 0 
Lab_ACconfig-1ine)#ip access-group 10 in 
B. Lab_ACconfig)#access-11ist 10 permit 172.16.1.1 
Lab_A(config)#line vty 0 4 
Lab_A(config-line)#access-class 10 out 
C. Lab A(config)#access-list 10 permit 172.16.1.1 
Lab_A(Cconfig)#1line vty 0 4 
Lab_A(config-line)#access-class 10 in 
D. Lab_A(Cconfig)#access-1ist 10 permit 172.16.1.1 
Lab_ACconfig)#line vty 0 4 
Lab_ACconfig-1ine)#ip access-group 10 in 
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(18) 下 面 有 关 如 何 将 访问 控制 列表 应 用 于 接口 的 说 法 中 ， 哪 种 是 正确 的 ? 
A. 可 根据 需要 将 任意 数量 的 访问 控制 列表 应 用 于 任何 接口 ， 直 到 内 存 耗 尽 
B. 在 任何 接口 上 都 只 能 应 用 一 个 访问 控制 列表 
C. 在 每 个 接口 的 每 个 方向 上 ， 只 能 针对 每 种 第 3 层 协议 应 用 一 个 访问 控制 列表 
D. 在 任何 接口 上 都 可 应 用 两 个 访问 控制 列表 
(19) 当前 网 络 面临 的 最 常见 的 攻击 是 什么 ? 


A. 援 锁 攻 击 〈1lock picking ) B. Naggle 
C. DoS D. auto secure 
(20) 为 实时 防范 DoS 攻击 ， 并 将 攻击 网 络 的 企图 记录 到 有 日志， 应 如 何 做 ? 
A. 添加 路 由 器 B. 使 用 auto secure 命令 
C. 实现 IDS/IPS D. 配置 Naggle 


12.12 复习 题 答案 


(1) B。 标 准 全 访问 控制 列表 使 用 编号 1 一 99 或 1300~ 1999， 且 只 根据 源 瑟 地 址 进行 过 滤 。 答 案 C 之 
所 以 不 对 ， 是 因为 掩 码 必 须 是 通配符 格式 。 

(2) C。 范 围 192.168.160.0 一 192.168.191.0 对 应 的 块 大 小 为 32。 网 络 地 址 为 192.168.160.0， 子 网 掩 码 为 
255.255.24.0; 而 在 访问 控制 列表 中 ， 必 须 使 用 对 应 的 通配符 掩 码 0.0.31.255。 其 中 的 31 表示 块 大 小 32, 通 
配 符 掩 码 总 是 比 块 大 小 小 1。 

(G)C。 将 命名 访问 控制 列表 应 用 于 路 由 器 接口 时 ， 只 需 将 编号 替换 为 名 称 即 可 ,因此 正确 的 答案 是 ip 
access-group Blocksales ino。 

(4) B 和 D。 通 配 符 掩 码 0.0.0.0 告诉 路 由 器 ， 全 部 4 B 都 必须 相同 。 可 使 用 命令 host 代替 这 种 通配符 
掩 码 。 

(5) A。 对 于 这 样 的 问题 ， 首 先 需要 检查 的 是 访问 控制 列表 编号 。 根 据 这 一 点 可 知 ， 答 案 B 不 正确 ， 因 
为 它 使 用 的 是 标准 下 访问 控制 列表 的 编号 。 接 下 来 需要 检查 的 是 协议 。 如 果 要 根据 上 层 协议 进行 过 滤 ， 则 
必须 指定 UDP 或 TCP; 据 此 可 排除 答案 D。 另 外 ,答案 C 和 D 的 语法 也 不 对 。 

(6) C。 在 所 有 的 答案 中 ， 只 有 命令 show ip interface 能 够 告诉 你 对 哪些 接口 应 用 了 访问 控制 列表 。 
命令 sh access-1ists 不 会 指出 对 哪些 接口 应 用 了 访问 控制 列表 。 

(7) C。 命 令 sh access-1ists 让 你 能 够 查看 所 有 访问 控制 列表 的 全 部 内 容 ， 但 不 会 指出 访问 控制 
列表 被 应 用 于 哪个 接口 。 

(8) C。 扩 展 访问 控制 列表 的 编号 范围 为 100~199 和 2000~2699， 因 此 访问 控制 列表 编号 100 是 
合法 的 。Telnet 使 用 TCP， 因 此 协议 TCP 也 是 对 的 。 现 在 ， 只 需 查看 源 地 址 和 目标 地 址 。 只 有 答案 C 
的 参数 排列 顺序 是 正确 的 。 答 案 B 也 许可 行 ， 但 这 里 要 求 只 禁止 到 网 络 192.168.10.0 的 Telnet 连接 ， 
而 答案 B 中 的 通配符 掩 码 指定 的 范围 太 大 了 。 

(9) D。 扩 展 全 访问 控制 列表 的 编号 范围 为 100~ 199 和 2000~2699， 并 根据 源 PP 地址、 目标 了 
地 址 、 协 议 号 和 端口 号 进行 过 滤 。 答 案 D 是 正确 的 ， 因 为 它 的 第 二 条 语句 指定 了 permit ip any any 
《实际 上 是 0.0.0.0 255.255.255.255, 但 这 与 any 等 效 )。 答案 C 没 有 这 条 语句 , 因此 将 禁止 所 有 访问 。 

(10) D。 首 先 ， 您 必须 知道 /20 对 应 的 子 网 掩 码 为 255.255.240.0， 其 第 三 个 字 节 对 应 的 块 大 小 为 16。 通 
过 计算 16 的 整数 倍 ， 可 确定 子 网 号 的 第 三 个 字 节 为 48， 而 通配符 掩 码 的 第 三 个 字 节 为 15， 因 为 通配符 掩 
码 总 是 比 块 大 小 小 1。 
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(11) C。 就 应 用 访问 控制 列表 而 言 ， 合 适 的 命令 为 ip access-group 101 in。 

(12) A。 首 先 ， 你 必须 知道 /19 对 应 的 子 网 掩 码 为 255.255.224.0， 其 第 三 个 字 节 对 应 的 块 大 小 为 32。 通 
过 计算 32 的 整数 倍 ， 可 确定 子 网 号 的 第 三 个 字 节 为 192， 而 通配符 掩 码 的 第 三 个 字 节 为 31， 因 为 通配符 掩 
码 总 是 比 块 大 小 小 1。 

(13) B。 首 先 ， 你 必须 知道 /21 对 应 的 子 网 掩 码 为 255.255.248.0， 其 第 三 个 字 节 对 应 的 块 大 小 为 8。 通 
过 计算 8 的 整数 倍 ， 可 确定 子 网 号 的 第 三 个 字 节 为 44， 而 通配符 掩 码 的 第 三 个 字 节 为 7， 因 为 通配符 掩 码 
总 是 比 块 大 小 小 1。 

(14) C。 要 将 访问 控制 列表 应 用 于 接口 ， 可 在 接口 配置 模式 下 执行 命令 ip access-group。 

(15)D。 对 于 与 访问 控制 列表 相关 的 问题 ， 要 找 出 正确 答案 ， 总 是 应 首先 检查 访问 控制 列表 编号 ， 再 检 
查 协议 。 要 根据 上 层 协议 进行 过 滤 ， 必 须 使 用 扩展 访问 控制 列表 ， 其 编号 范围 为 100 一 199 和 2000 一 2699。 
另外 ， 要 根据 上 层 协议 的 端口 进行 过 滤 ， 必 须 在 ACL 将 协议 指定 为 TCP 或 UDP。 如 果 将 协议 指定 为 P， 
便 不 能 根据 上 层 协 议 的 端口 号 进行 过 滤 。SMTP 使 用 TCP。 

(16) D。 将 访问 控制 列表 应 用 于 接口 时 ， 如 果 该 访问 控制 列表 一 条 permit 语句 也 没有 ， 则 相当 于 关闭 
了 该 接口 ， 因 为 每 个 访问 控制 列表 末尾 都 有 一 条 隐 式 的 deny any 语句 。 

(17)C。 要 禁止 以 Telnet 方 式 访 问 路 由 器 ， 可 对 路 由 器 的 VTY 线路 应 用 一 个 标准 人 P 访 问 控制 列表 或 一 
个 扩展 下 访问 控制 列表 。 命 令 access-class 用 于 将 访问 控制 列表 应 用 于 VTY 线路 。 

(18) C。 思 科 路 由 器 有 如 何在 路 由 器 接口 上 应 用 访问 控制 列表 的 规则 。 在 每 个 接口 的 每 个 方向 上 ， 只 能 
针对 每 种 第 3 层 协议 应 用 一 个 访问 控制 列表 。 

(19) C。 当 前 网 络 面临 的 最 常见 的 攻击 是 拒绝 访问 (DoS ) 攻击 ， 因 为 这 种 攻击 最 容易 发 动 。 

(20) C。 通 过 实现 人 侵 检 测 系统 (IDS ) 和 入 侵 防范 系统 (IPS ) ， 可 实时 地 检测 并 阻止 攻击 。 
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(1) access-1ist 10 deny 172.16.0.0 0.0.255.255 
access-l1ist 10 permit any 

(2) ip access-group 10 out 

(3) access-1ist 10 deny host 192.168.15.5 
access-list 10 permit any 

(4) show access-1ists 

(5) IDS 和 JIPS 


(6) access-1ist 110 deny tcp host 
172.16.10.1 host 172.16.30.5 eq 23 
access-list 110 permit ip any any 

(7) line vty 0 4 
access-class 110 in 

(8) ip access-1ist standard Nol72Net . 
deny 172.16.0.0 0.0.255.255 
permit any 

(9) ip access-group Nol72Net out 

(10) show ip interfaces 


*]3s 
网 络 地 址 转换 (NAT ) 


本 章 涵盖 如 下 CCNA 考试 要 点 。 

v 在 中 型 企业 分 支 机 构 网 络 中 实现 和 验证 NAT 和 ACL 以 及 排除 其 故障 

口 阐述 NAT 的 基本 工作 原理 ; 

口 根据 网 络 需 求 配置 NAT ( 包括 使 用 CLVSDM ); 

口 排除 NAT 故障 。 

在 本 章 中 ， 笔 者 将 简要 地 介绍 NAT (Network Address Translation ， 网 络 地 址 转换 )、 动 态 NAT 和 
端口 地 址 转换 (PAT )， 其 中 PAT 也 叫 NAT 重 载 。 当 然 ， 我 将 演示 所 有 的 NAT 命令 ,还 将 在 本 章 末 屁 
提供 一 些 引 人 注目 的 动手 实验 ， 供 你 练习 。 

”在 阅读 本 章 前 ， 阅 读 第 12 章 将 有 所 帮助 ， 因 为 配置 NAT 时 需要 用 到 访问 控制 列表 。 


有 关 本 章 的 最 新 修订 ， 请 访问 www.lammle.com 或 www.sybex.com/go/ccna7e。 


注意 


13.1 在 什么 情况 下 使 用 NAT 


与 无 类 域 间 路 由 选择 (CIDR ) 一 样 ， 最 初 开发 NAT 也 旨 在 推迟 可 用 IP 地 址 空间 耗 尽 的 时 间 ， 这 
是 通过 使 用 少量 公有 卫 地 址 表示 众多 私有 卫 地 址 实现 的 。 

但 随后 人 们 发 现 ,在 网 络 迁 移 和 合并 、 服 务 器 负载 均衡 以 及 创建 虚拟 服务 器 方面 , NAT 也 是 很 有 
用 的 工具 。 因 此 ， 本 章 将 简要 描述 NAT 的 功能 和 常见 术语 。 

NAT 确实 可 减少 联网 环境 所 需 的 公有 卫 地址 数 ; 在 两 家 使 用 相同 内 部 编 址 方案 的 公司 合并 时 ， 
NAT 也 提供 了 便利 的 解决 方案 ; 在 公司 更 换 因特网 服务 提供 商 (ISP )， 而 网 络 管理 员 又 不 想 修 改 内 部 
编 址 方案 时 ，NAT 也 能 提供 很 好 的 解决 方案 。 

下 面 是 NAT 可 提供 帮助 的 各 种 情形 : 

口 需要 连接 到 因特网 ， 但 主机 没有 全 局 唯一 的 全 地址 ; 
口 更 换 的 ISP 要 求 对 网 络 进行 重新 编 址 ; 
口 需要 合并 两 个 使 用 相同 编 址 方案 的 内 联网 。 

NAT 通常 用 于 边界 路 由 器 。 例 如 ， 在 图 13-1 中 ，NAT 用 于 连接 到 因特网 的 路 由 器 Corporate 
(公司 )。 

你 可 能 这 样 想 ，NAT 确实 很 酷 ， 它 是 最 佳 的 网 络 工具 ， 必 须 使 用 它 。 但 且慢 ，NAT 也 有 缺陷 。 我 
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的 意思 是 说 ，NAT 有 时 候 确 实 可 以 解救 你 ， 但 它 也 有 缺点 。 表 13-1 说 明了 NAT 的 优 缺 点 。 
企业 工程 部 销售 部 


ee 
有 


图 13-1 在 什么 地 方 配置 NAT 


表 13-1 实现 NAT 的 优 缺 点 


优点 缺 点 

节省 合法 的 注册 地 址 地 址 转换 将 增加 交换 延迟 

在 地 址 重奏 时 提供 解决 方案 导致 无 法 进行 端 到 端 亿 跟踪 
提高 连接 到 因特网 的 灵活 性 导致 有 些 应 用 程序 无 法 正常 运行 
在 网 络 发 生变 化 时 避免 重新 编 址 


NR 0 es 


NAT 最 明显 的 优点 是 ， 
注意 ” 尽 的 原因 。 


能 够 节省 合法 的 注册 地 址 。 这 也 是 IPv4 地 址 至 今 还 未 耗 
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本 节 介 绍 NAT 的 3 种 类 型 。 

口 静态 NAT 这 种 NAT 能够 在 本 地 地 址 和 全 局 地 址 之 间 进 行 一 对 一 的 映射 。 请 记 住 ， 使 用 静态 
NAT 时 ， 必 须 为 网 络 中 的 每 台 主 机 提供 一 个 公有 因特网 他 地址 。 

口 动态 NAT 它 能 够 将 未 注册 的 IP 地 址 映射 到 注册 IP 地 址 池 中 的 一 个 地 址 。 不 像 使 用 静态 
NAT 那样 ， 你 无 需 静 态 地 配置 路 由 器 ， 使 其 将 每 个 内 部 地 址 映射 到 一 个 外 部 地 址 ， 但 必须 有 
足够 的 公有 因特网 P 地址 ， 让 连接 到 因特网 的 主机 都 能 够 同时 发 送 和 接收 分 组 。 

口 NAT 重 载 这 是 最 常用 的 NAT 类 型 。NAT 重 载 也 是 动态 NAT， 它 利用 源 端 口 将 多 个 非 注册 
IP 地 址 映射 到 一 个 注册 IP 地 址 (多 对 一 )。 那 么 ， 它 的 独特 之 处 何在 呢 ? 它 也 被 称 为 端口 地 
址 转 接 (PAT )。 通 过 使 用 PAT (NAT 重 载 )， 只 需 使 用 一 个 全 局 人 P 地 址 ， 就 可 将 数 千 名 用 户 
连接 到 因特网 ,这 是 不 是 很 酷 ” 因特网 IP 地址 之 所 以 还 未 耗 尽 ,真正 的 原因 就 在 于 使 用 了 NAT 
重 载 。 
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在 本 章 末 尾 ， 将 通过 动手 实验 演示 如 何 配置 这 3 种 类 型 的 NAT。 


13.3 NAT 术语 


对 于 用 于 NAT 的 地 址 ， 我 们 使 用 的 术语 很 简单 。NAT 转换 后 的 地 址 称 为 全 局 地 址 ， 这 通常 是 因 
特 网 公有 地 址 ; 但 如 果 无 需 连 接 到 因特网 ， 则 不 需要 公有 地 址 。 

进行 NAT 转换 前 的 地 址 称 为 本 地 地 址 。 因 此 ， 内 部 本 地 地 址 是 试图 连接 到 因特网 的 主机 的 私有 
地 址 ; 而 外 部 本 地 地 址 通常 是 与 ISP 相连 的 路 由 器 接口 的 地 址 。 后 者 通常 是 公有 地 址 ， 主 机 发 送 的 分 
组 的 源 地 址 通常 会 转换 为 这 种 地 址 。 

内 部 本 地 地 址 将 被 转换 为 内 部 全 局 地 址 ,而 外 部 全 局 地 址 将 成 为 目标 地 址 。 表 13-2 列 出 了 各 种 NAT 
术语 。 


表 13-2 ”NAT 术语 


术 语 含义 
内 部 本 地 地 址 转换 前 的 内 部 源 地 址 
外 部 本 地 地 址 转换 后 的 目标 地 址 
内 部 全 局 地 址 转换 后 的 源 地 址 
外 部 全 局 地 址 转换 前 的 外 部 目标 地 址 


13.4 NAT 的 工作 原理 
下 面 介绍 NAT 的 工作 原理 。 首 先 ， 使 用 图 13-2 介绍 基本 的 NAT 转换 。 


-一 ”一 一 > 


主机 B 


170.168.2.2 63.40.7.3 


NAT 表 
内 部 本 地 内 部 全 局 
IP 地 址 IP 地 址 


FOL.3 170.168.2.4 
10.1.1.2 170.168.2.3 
Os bl 170.168.2.2 


图 13-2 基本 的 NAT 转换 
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在 图 13-2 所 示 的 示例 中 ， 为 向 因特网 发 送 分 组 ， 主 机 10.1.1.1 将 其 发 送 给 配置 了 NAT 的 边界 路 由 
器 。 该 路 由 器 发 现 分 组 的 源 IP 地 址 为 内 部 本 地 外 地址 ， 且 是 前 往外 部 网 络 的 ， 因 此 对 源 地 址 进行 转 
换 ， 并 将 这 种 转换 记录 到 NAT 表 中 。 

然后 , 该 分 组 被 转发 到 外 部 接口 ， 它 包含 转换 后 的 源 地 址 。 收 到 外 部 主机 返回 的 分 组 后 ，NAT 路 
由 器 根据 NAT 表 将 分 组 包含 的 内 部 全 局 PP 地 址 转换 为 内 部 本 地 IP 地 址 。 

下 面 来 看 一 个 更 复杂 的 示例 , 它 使 用 了 NAT 重 载 ( 也 叫 端口 地 址 转换 , PAT )。 这 里 将 使 用 图 13-3 
来 说 明 PAT 的 工作 原理 。 

使 用 重 载 时 ， 转 换 后 的 所 有 内 部 主机 都 使 用 同一 个 IP 地 址 ， 术 语 重 载 因此 而 得 名 。 这 里 再 重申 
一 次 ， 可 用 的 因特网 瑟 地 址 之 所 以 没有 耗 尽 ， 都 是 拜 NAT 重 载 ( PAT ) 所 赐 。 

请 看 图 13-3 所 示 的 NAT 表 , 除 内 部 本 地 IP 地 址 和 外 部 全 局 他 地 址 外 , 它 还 包含 端口 号 。 这 些 端 
口号 让 路 由 器 能 够 确定 应 该 将 返回 的 数据 流转 发 给 哪 台 主机 。 


主机 B 
63.41.7.3 


be 
170.168.2.2 E 


170.168.2.2 


NAT 表 


| 101L1 | 办 议 ”| 内 部 本 地 ”| ”内 部 全 局 Pp 外 部 全 局 IP 
Os 1.1. 地 址 : 端口 地 址 : 端口 地 址 : 端口 


10.1.1.3:1723 170.168.2.2:1492 | 63.41.7.3:23 
10.1.1.2:1723 170.168.2.2:1723 | 63.41.7.3:23 
10.1.1.1:1024 170.168.2.2:1024 | 63.40.7.3:23 


图 13-3 NAT 重 载 (PAT ) 示例 


在 这 个 示例 中 ， 使 用 传输 层 端 口号 来 标识 本 地 主机 。 如 果 必 须 使 用 注册 瑟 地 址 来 标识 本 地 主机 ， 
则 称 为 静态 NAT， 而 可 用 人 P 地 址 早 就 耗 尽 了 。PAT 能 够 使 用 传输 层 端口 号 来 标识 主机 ， 因 此 ， 从 理 
论 上 说 ， 最 多 可 让 大 约 65 000 台 主 机 共用 一 个 公有 全 地 址 。 


13.4.1 配置 静态 NAT 
下 面 是 一 种 简单 的 静态 NAT 配置 : 
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ip nat inside source static 10.1.1.1 170.46.2.2 
1 
interface Ethernet0 
ip address 10.1.1.10 255.255.255.0 
ip nat inside 
! 
interface Serial0 
ip address 170.46.2.1 255.255.255.0 
ip nat outside 
! 
在 上 面 的 路 由 器 输出 中 ， 命 令 ip nat inside source 指定 要 对 哪些 IP 地址 进行 转换 。 这 里 使 
用 该 命令 配置 了 一 个 静态 转换 :将 内 部 本 地 IP 地 址 10.1.1.1 静态 地 转换 为 内 部 全 局 卫 地 址 170.46.2.2。 
如 果 你 往 下 查看 该 配置 ， 将 发 现 每 个 接口 都 配置 了 命令 ip nat。 命 令 ip nat inside 将 接口 指 
定 为 内 部 接口 ， 而 命令 ip nat outside 将 接口 指定 为 外 部 接口 。 命 令 ip nat inside source 将 
内 部 接口 指定 为 源 ， 即 转换 的 起 点 ， 也 可 将 该 命令 改 为 ip nat outside source， 从 而 将 外 部 接口 
指定 为 源 ， 即 转换 的 起 点 。 


13.4.2 ”配置 动态 NAT 


要 使 用 动态 NAT， 需 要 有 一 个 地 址 池 ， 用 于 给 内 部 用 户 提供 公有 下 地址 。 动 态 NAT 不 使 用 端口 
因此 对 于 同时 试图 访问 外 部 网 络 的 每 位 用 户 ， 都 需要 有 一 个 公有 IP 地 址 。 
下 面 是 一 个 动态 NAT 配置 示例 : 
ip nat pool todd 170.168.2.3 170.168.2.254 
netmask 255.255.255.0 


ip nat inside source list 1 pool todd 
! 


号 


interface Ethernet0 
ip address 10.1.1.10 255.255.255.0 
ip nat inside 
1 
interface Serial0 
ip address 170.168.2.1 255.255.255.0 
ip nat outside 
! 
access-list 1 permit 10.1.1.0 0.0.0.255 
! 
命令 ip nat inside source 1ist 1 pool todd 让 路 由 器 这 样 做 : 将 与 access-1ist 1 匹配 
的 让 地 址 转换 为 IP NAT 地 址 池 todd 中 的 一 个 可 用 地 址 。 在 这 里 ， 不 同 于 出 于 安全 考虑 而 过 滤 数 据 
流 ， 访 问 控制 列表 并 非 用 来 禁止 或 允许 数据 流通 过 ， 而 用 于 指定 感 兴趣 的 数据 流 。 如 果 数 据 流 与 访问 
控制 列表 匹配 ( 即 为 感 兴趣 的 数据 流 )， 则 将 其 交 给 NAT 进程 进行 转换 。 这 是 访问 控制 列表 的 一 种 常 
见 用 途 ， 访 问 控制 列表 并 非 总 是 用 于 在 接口 处 阻 断 数 据 流 。 
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命令 ip nat poo1 todd 170.168.2.3 192.168.2.254 netmask 255.255.255.0 创建 一 个 地 
址 池 ， 用 于 将 全 局 地 址 分 配给 主机 。 


13.4.3 配置 PAT (NAT 重 载 ) 


这 个 示例 将 演示 如 何 配置 内 部 全 局 地 址 重 载 , 这 是 当今 使 用 的 典型 NAT。 除 非 需 要 进行 静态 映射 
(如 映射 到 服务 器 )， 否 则 很 少 使 用 静态 NAT 和 动态 NAT。 

下 面 是 一 个 PAT 配置 示例 : 

ip nat pool globalnet 170.168.2.1 170.168.2.1 netmask 255.255.255.0 

ip nat inside source jist 1 pool globalnet overload 


1 
interface Ethernet0/0 
ip address 10.1.1.10 255.255.255 .0 
ip nat inside 
! 
interface Serial0/0 
ip address 170.168.2.1 255.255.255.0 
ip nat outside 
! 
access-list 1 permit 10.1.1.0 0.0.0.255 
相 比 于 前 面 的 动态 NAT 配置 , 该 配置 唯一 不 同 的 地 方 是 ， 地 址 池 只 包含 一 个 全 地址， 且 命 令 ip 
nat inside source 末尾 包含 关键 字 overload。 
在 这 个 示例 中 ， 注 意 到 地 址 池 只 包含 一 个 卫 地 址 ， 它 是 外 部 接口 的 人 地址 。 这 适合 只 从 ISP 获 
取 一 个 耳 地 址 的 家 庭 或 小 型 办 公 室 配置 NAT 重 载 。 然 而 ， 如 果 有 其 他 地 址 ， 如 170.168.2.2， 也 可 使 
用 它 ， 这 适合 大 型 网 络 ， 在 这 种 环境 中 ， 可 能 有 很 多 内 部 用 户 需要 同时 访问 因特网 ， 必 须 重 载 多 个 公 
有 也 地 址 。 


13.4.4 NAT 的 简单 验证 


配置 完成 要 使 用 的 NAT 类 型 后 一 一 通常 是 NAT 重 载 (PAT )， 需 要 对 配置 进行 验证 。 

要 查看 基本 的 IP 地 址 转换 信息 ， 可 使 用 如 下 命令 : 

Router#show ip nat translations 

查看 卫 NAT 转换 条 目 时 ， 可 能 看 到 很 多 包含 同一 个 目标 地 址 的 转换 条 目 ， 这 通常 是 由 于 有 很 多 
到 同一 台 服 务 器 的 连接 。 

另外 ， 还 可 使 用 命令 debug ip nat 来 验证 NAT 配置 。 在 该 命令 的 每 个 调试 输出 行 中 ， 都 包含 
发 送 地 址 、 转 换 条 目 和 目标 地 址 ; 


Router#debug ip nat 


如 何 将 NAT 表 中 的 转换 条 目 清除 呢 ? 可 使 用 命令 clear ip nat translation。 要 清除 NAT 表 
中 的 所 有 转换 条 目 ， 可 在 该 命令 末尾 加 上 星 号 (* )。 
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13.5 NAT 的 测试 和 故障 排除 


思科 NAT 功能 强大 ， 无 需 为 此 做 太 多 工作 ， 因 为 其 配置 非常 简单 。 但 你 知道 ， 任 何 东 西 都 不 是 完 
美的 ， 如 果 出 现 故 障 ， 可 根据 下 述 清 单 找 出 常见 的 原因 : 
口 检查 动态 地 址 池 ， 看 它 包 含 的 地 址 范围 是 否 正确 ; 
口 检查 不 同 动态 地 址 池 包 含 的 地 址 是 否 重 复 ; 
口 检查 用 于 静态 映射 的 地 址 和 动态 地 址 池 中 的 地 址 是 否 重复 ，; 
口 确保 访问 控制 列表 正确 地 指定 了 要 转换 的 地 址 ; 
口 确保 包含 了 应 包含 的 地 址 ， 且 没有 包含 不 应 包含 的 地 址 ; 
口 确保 正确 地 指定 了 内 部 接口 和 外 部 接口 。 
需要 牢记 于 心 的 是 ， 新 的 NAT 配置 有 一 种 常见 的 问题 ， 这 种 问题 与 NAT 毫 无 关系 ， 而 与 路 由 选 
择 相 关 。 因 此 ， 使 用 NAT 修改 分 组 的 源 地 址 或 目标 地 址 后 ， 务 必 确 保 路 由 器 知道 如 何 处 理 转换 后 的 
地 址 。 
通常 ， 应 首先 使 用 命令 show ip nat translations， 如 下 所 示 : 


Router#show ip nat trans 


Pro Inside global Inside local OQutside local 0utside global | 
-一 192.2.2.1 10.1.1.1 --- --- 
~—— 192.2.2.2 10.1.1.2 -- - 


根据 上 述 输出 ， 你 能 判断 路 由 器 配置 的 要 么 是 静态 NAT 要 么 是 动态 NAT 吗 ? 能 够 判断 ， 因 为 内 
部 本 地 地 址 和 内 部 全 局 地 址 之 间 为 一 对 一 的 映射 关系 。 下 面 来 看 另 一 个 例子 : 


Router#sh ip nat trans 


Pro Inside global Inside local Outside local Outside global 
tcp 170.168.2.1:11003 10.1.1.1:11003 172.40.2.2:23 172.40.2.2:23 
tcp 170.168.2.1:1067 10.1.1.1:1067 172.40.2.3:23 172.40.2.3:23 


从 上 述 输出 可 知 ， 使 用 的 是 NAT 重 载 (PAT )。 上 述 输出 表明 ,协议 为 TCP， 且 两 个 转换 条 目 中 
包含 的 内 部 全 局 地 址 相同 。 

有 人 说 ,NAT 表 可 存储 的 转换 条 目 数 没有 限制 ,但 实际 上 ，, 内存 、CPU 以 及 可 用 地 址 和 端口 范围 
限制 了 可 包含 的 转换 条 目 数 。 每 个 转换 条 目 都 需要 占用 大 约 160 B 的 内 存 。 有 时 候 ， 出 于 性 能 考虑 或 
受 策略 的 限制 ， 必 须 限制 包含 的 转换 条 目 数 ， 不 过 这 种 情况 也 不 多 见 。 这 时 ， 可 使 用 命令 ip nat 
translation max-entries。 

另 一 个 方便 的 故障 排除 命令 是 show ip nat statistics。 该 命令 显示 NAT 配置 摘要 ， 并 计算 
活动 的 转换 条 目 数 。 另 外 ， 它 还 显示 命中 现 有 转换 条 目的 次 数 以 及 未 找到 现 有 条 目的 次 数 ， 在 后 一 种 
情况 下 ， 将 试图 创建 新 的 转换 条 目 。 该 命令 还 显示 过 期 的 转换 条 目 。 如 果 要 查看 动态 地 址 池 一 一 它 包 
含 的 地 址 总 数 (其 中 有 多 少 分 配 出 去 了 ， 还 有 多 少 可 用 ) 以 及 执行 的 转换 次 数 ， 可 在 该 命令 中 使 用 关 
键 字 poo1。 

下 面 是 这 个 NAT 调试 命令 的 输出 : 

Router#debug ip nat 

NAT: s=10.1.1.1->192.168.2.1, d=172.16.2.2 [0] 

NAT: s=172.16.2.2, d=192.168.2.1->10.1.1.1 [01 
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NAT: s=10.1.1.1->192.168.2.1, d=172.16.2.2 [1] 

NAT: s=10.1.1.1->192.168.2.1, d=172.16.2.2 [2] 

NAT: s=10.1.1.1->192.168.2.1, d=172.16.2.2 [3] 

NAT*: s=172.16.2.2, d=192.168.2.1->10.1.1.1 [1] 

注意 到 在 最 后 一 行 输出 中 ， 开 头 有 一 个 星 号 (* )。 这 表示 分 组 在 转换 后 被 快速 交换 到 目的 地 。 你 
可 能 会 问 : 什么 是 快速 交换 呢 ? 下 面 简 要 地 解释 一 下 。 快 速 交 换 有 很 多 名 称 ， 也 被 称 为 基于 缓存 的 交 
换 ， 而 另 一 个 更 准确 的 名 称 是 “路 由 一 次 ， 交 换 多 次 ”。 在 思科 路 由 器 上 ， 使 用 快速 交换 进程 来 缓存 第 
3 层 路 由 选择 信息 ， 供 第 2 层 进程 使 用 ， 这 和 骨 在 避免 每 次 转发 分 组 时 都 对 路 由 选择 表 进 行 分 析 ， 让 路 
由 器 能 够 快速 转发 分 组 。 以 进程 方式 交换 分 组 (在 路 由 选择 表 中 查找 ) 时 ， 将 相关 的 信息 存储 在 缓存 
中 ， 供 以 后 使 用 ， 以 提高 路 由 选择 速度 。 

回 到 验证 NAT 的 主题 。 前 面 说 过 ， 可 手工 清除 NAT 表 中 的 转换 条 目 。 如 果 需 要 删除 无 用 的 转换 
条 目 ， 以 免 它们 等 待 过 期 ， 这 将 很 方便 。 另 外 ， 如 果 要 清空 整个 NAT 表 ， 以 便 重新 配置 地 址 池 ， 这 
也 很 有 用 。 

还 需 知道 的 是 ， 只 要 NAT 表 中 有 包含 地 址 池 中 地 址 的 转换 条 目 ， 思 科 IOS 就 不 会 允许 修改 或 删 
除 相应 的 地 址 池 。 命 令 clear ip nat translations 清除 转换 条 目 一 你 可 使 用 全 局 地 址 、 本 地 地 
址 和 TCP (UDP ) 端口 指定 要 清除 特定 的 转换 条 目 ， 也 可 使 用 星 号 (* ) 清除 所 有 的 转换 条 目 。 然 而 ， 
该 命令 只 清除 动态 转换 条 目 ， 而 不 会 清除 静态 转换 条 目 。 

另外 ， 外 部 设备 返回 分 组 时 ， 使 用 的 目标 地 址 称 为 内 部 全 局 (1G ) 地 址 。 这 意味 着 必须 将 最 初创 
建 的 转换 条 目 保存 在 NAT 表 中 ， 确 保 对 特定 连接 返回 的 所 有 分 组 进行 一 致 的 转换 。 通 过 将 转换 条 目 
保存 在 NAT 表 中 ， 还 可 减少 同一 台 内 部 主机 定期 向 同一 台 外 部 主机 发 送 分 组 时 ， 每 次 执行 的 重复 转 
换 操 作 。 

进一步 解释 下 我 想 表达 的 意思 。 转 换 条 目 首次 被 加 入 NAT 表 时 ， 将 启动 一 个 定时 器 ， 该 定时 器 的 
时 间 称 为 转换 条 目 超时 时 间 。 每 当 有 穿越 路 由 器 的 分 组 用 到 该 转换 条 目 时 ， 都 将 重 置 其 定时 器 。 如 果 
定时 器 到 期 ， 相 应 的 转换 条 目 将 从 NAT 表 中 删除 ， 而 动态 分 配给 它 的 地 址 将 归还 给 地 址 池 。 思 科 路 由 
器 的 转换 条 目 超 时 时 间 默 认为 86 400 秒 (24 小 时 )， 但 可 使 用 命令 ip nat translation timeout 修改 。 

下 面 来 看 一 个 NAT 示例 ， 看 看 你 能 否 确 定 所 需 的 配置 。 首 先 ， 请 看 图 13-4， 并 回答 如 下 两 个 问 
题 : 在 哪里 实现 NAT? 配置 哪 种 类 型 的 NAT? 


企业 管理 部 门 销售 部 


134_ NAT 示 例 
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在 图 13-4 中 ， 应 在 路 由 器 Corporate 上 配置 NAT， 并 使 用 NAT 重 载 (PAT )。 下 面 的 配置 使 用 的 
是 哪 种 类 型 的 NAT 呢 ? 

ip nat pool todd-nat 170.168.10.10 170.168.10.20 netmask 255.255.255.0 

ip nat inside source list 1 pool todd-nat 

它 使 用 的 是 动态 NAT。 这 是 因为 命令 ip nat inside source 中 包含 关键 字 poo1， 而 指定 的 地 
址 池 包 含 多 个 地 址 ， 且 该 命令 末尾 没有 关键 字 over1load ( 这 表明 没有 使 用 PAT )。 

接 下 来 ， 请 看 图 13-5， 你 能 确定 应 该 使 用 哪 种 配置 吗 ? 


192.1.2.110 


Lab_A FO0/0 
SO/1 


gg, 192.168.10.126 


SO/[0 
192.1.2.109 


控制 台 
图 13-5 另 一 个 NAT 示 例 

在 图 13-5 所 示 的 示例 中 ， 需 要 在 边界 路 由 器 上 配置 NAT， 并 将 内 部 本 地 地 址 转换 为 6 个 公有 IP 
地 址 ( 192.1.2.109 一 192.1.2.114 ) 之 一 。 然 而 , 内 部 网 络 有 62 台 主 机 , 它们 使 用 私有 地 址 192.168.10.65 ~ 
192. 168.10.126。 在 边界 路 由 器 上 ， 应 如 何 配置 NAT 呢 ? 

有 两 种 可 行 的 解决 方案 , 但 笔者 优先 选择 下 面 的 解决 方案 : 

ip nat pool Todd 192.1.2.109 192.1.2.109 netmask 255.255.255.248 

access-list 1 permit 192.168.10.64 0.0.0.63 

ip nat inside source list 1 pool Todd overload 

命令 ip nat pool Todd 192.1.2.109 192.1.2.109 netmask 255.255.255.248 创建 一 个 只 
包含 一 个 地 址 〈 192.1.2.109 ) 的 动态 地 址 池 ， 并 将 其 命名 为 Todd。 在 这 个 命令 中 ， 也 可 以 使 用 
prefix-length 29， 而 不 使 用 关键 字 netmask， 只 不 过 要 多 敲 几 次 键盘 而 已 。 

第 二 个 解决 方案 是 使 用 ip nat poo1 Todd 192.1.2.109 192.1.2.114 netmask 255.255.255.248， 
其 效果 与 只 将 192.1.2.109 用 作 内 部 全 局 地 址 相同 ， 但 这 会 浪费 地 址 ， 因 为 仅 当 TCP 端口 号 发 生 冲突 
时 ， 才 会 使 用 第 2~6 个 地 址 。 仅 当 数 万 台 主 机 共享 一 条 因特网 连接 时 ， 才 应 使 用 这 种 解决 方案 ， 这 
有 助 于 解决 TCP-Reset 问题 ( 即 两 台 主 机 试图 使 用 相同 的 源 端口 号 )。 但 在 这 个 示例 中 ， 只 有 62 台 主 
机 同时 连接 到 因特网 ， 因 此 使 用 多 个 内 部 全 局 地 址 不 会 带 来 任何 额外 的 好 处 。 

如 果 你 不 明白 创建 访问 控制 列表 的 第 二 行 代 码 ， 请 参阅 第 12 章 。 在 这 行 代码 中 ， 使 用 了 网 络 号 
和 通配符 掩 码 。 我 常 说 “每 个 问题 都 是 子 网 问题 "， 这 里 也 不 例外 。 在 这 个 示例 中 ， 内 部 本 地 地 址 为 
192.168.10.65 ~192.168.10.126, 其 块 大 小 为 64, 因此 子 网 掩 码 为 255.255.255.192。 我 几乎 在 每 章 都 要 
强调 一 下 ， 你 必须 能 够 快速 进行 子 网 划分 ! 
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命令 ip nat inside source ]ist 1 poo] Todd overload 指定 使 用 该 动态 地 址 池 进 行 端口 地 
址 转换 ( PAT )， 关 键 字 over1oad 表明 了 这 一 点 。 


请 务必 在 合适 的 接口 上 配置 命令 ip nat inside 和 ip nat outside。 


请 务必 完成 本 章 末 尾 的 动手 实验 。 


下 面 再 介绍 一 个 示例 ， 然 后 你 就 可 以 去 完成 书面 实验 、 动 手 实验 和 复习 题 了 。 
在 图 13-6 所 示 的 网 络 中 ， 配 置 的 下 地 址 如 图 所 示 ， 且 只 配置 了 一 台 主 机 。 然 而 ， 你 需要 在 LAN 
中 再 添加 25 台 主 机 ， 而 这 26 台 主 机 必须 能 够 同时 连接 到 因特网 。 


S0/1 
一 全 
F0 


192.0.2.29/30 
/0 
192.168.76.94 


图 13-6 最 后 一 个 NAT 示例 


在 该 网 络 中 ,请 使 用 下 面 的 内 部 地 址 在 路 由 器 Corp 上 配置 NAT, 让 所 有 主机 都 能 够 连接 到 因特网 : 

口 内 部 全 局 地 址 : 198.18.41.129 ~ 198.18.41.134。 

口 内 部 本 地 地 址 : 192.168.76.65 ~ 192.168.76.94。 

这 个 示例 需要 你 深入 思考 ， 因 为 只 知道 内 部 全 局 地 址 和 内 部 本 地 地 址 , 但 根据 这 些 信息 以 及 路 由 
器 接口 的 外 地 址 ， 完 全 可 以 确定 配置 。 

首先 需要 知道 块 大 小 ， 以 确定 配置 NAT 地 址 池 时 应 使 用 的 子 网 掩 码 以 及 配置 访问 控制 列表 时 应 
使 用 的 通配符 掩 码 。 

内 部 全 局 地 址 对 应 的 块 大 小 为 8， 而 内 部 本 地 地 址 对 应 的 块 大 小 为 32， 这 很 容易 看 出 。 这 些 信 息 
很 重要 ， 你 必须 能 够 轻松 地 确定 它们 。 

确定 块 大 小 后 ， 便 可 以 配置 NAT 了 : 

ip nat pool Corp 198.18.41.129 198.18.41.134 netmask 255.255.255.248 

ip nat inside source 1ist 1 pool Corp overload 

access-list 1 permit 192.168.76.64 0.0.0.31 

由 于 地 址 池 只 包含 8 个 地 址 ， 为 确保 全 部 26 台 主 机 都 能 够 同时 连接 到 因特网 ， 必 须 使 用 关键 字 


overload。 


还 有 男 一 种 配置 NAT 的 简单 方式 ， 笔 者 在 自己 的 家 庭 办 公 室 使 用 的 就 是 这 种 方式 。 它 只 需 一 行 ， 
如 下 所 示 : 


ip nat inside Source list 1 int s0/0/0 overload 


只 需 一 行 命令 即 可 。 这 行 命令 的 意思 是 ， 将 我 的 外 部 本 地 地 址 用 作 内 部 全 局 地 址 ， 并 重 载 它 。 当 


然 , 还 必须 创建 ACL 1,， 并 指定 内 部 接口 和 外 部 接口 。 在 没有 地 址 池 可 用 时 ,这 是 一 种 配置 NAT 的 快 
捷 可 行 的 方式 。 


SO/1 
192.0.2.30/30 
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13.6 小结 


这 一 章 很 有 趣 ， 你 学 习 了 很 多 网 络 地 址 转换 (NAT ) 的 知识 ， 还 学 习 了 如 何 配置 静态 NAT 、 动 态 
NAT 和 端口 地 址 转换 (PAT， 也 叫 NAT 重 载 )。 

本 章 还 介绍 了 如 何在 网 络 中 使 用 和 配置 每 种 类 型 的 NAT。 

另外 ， 还 介绍 了 一 些 验 证 和 故障 排除 命令 。 


13.7 考试 要 点 


理解 术语 NAT。NAT 有 多 个 别名 ， 你 可 能 不 知道 ， 因 为 本 章 前 面 没 有 说 过 。 在 网 络 行业 ， 称 之 
为 网 络 伪 装 ( masquerading )、IP 伪装 , 而 那些 患 有 强迫 症 , 不 得 不 将 事情 讲 个 一 清二 楚 的 人 才 称 为 “网 
络 地 址 转换 ”。 无 论 怎么 叫 ， 这 些 术 语 指 的 都 是 在 IP 分 组 穿越 路 由 器 或 防火 墙 时 重 写 其 源 /目标 地 址 。 
将 重点 放 在 理解 NAT 发 生 的 过 程 上 ， 你 就 能 掌握 它 。 

牢记 3 种 NAT 方 法 。 这 3 种 方法 是 静态 、 动 态 和 重 载 ， 其 中 重 载 也 被 称 为 端口 地 址 转换 (PAT )。 

理解 静态 NAT。 这 种 NAT 让 你 能 够 以 一 对 一 的 方式 将 本 地 地 址 映射 到 全 局 地 址 。 

理解 动态 NAT。 这 种 NAT 让 你 能 够 将 一 系列 非 注 册 他 地 址 映射 到 地 址 池 中 的 注册 下 地址 。 

理解 重 载 。 重 载 实际 上 是 一 种 特殊 的 动态 NAT， 它 通过 使 用 不 同 的 端口 ， 将 多 个 非 注册 IP 地 址 
映射 到 一 个 注册 下 地址 (多 对 一 )。 这 种 NAT 也 被 称 为 端口 地 址 转换 (PAT )。 


13.8 书面 实验 13 


请 回答 下 述 问题 。 

(1) 哪 种 类 型 的 NAT 只 需 使 用 一 个 地 址 就 可 对 数 千 台 主机 的 地 址 进行 转换 ? 

(2) 要 实时 显示 路 由 器 所 做 的 NAT 转换 ， 可 使 用 哪个 命令 ? 

(3) 要 显示 转换 表 ， 可 使 用 哪个 命令 ? 

(4) 要 清除 NAT 表 中 的 所 有 转换 条 目 ， 可 使 用 哪个 命令 ? 

(5) 内 部 本 地 地 址 是 转换 前 还 是 转换 后 的 地 址 ? 

(6) 内 部 全 局 地 址 是 转换 前 还 是 转换 后 的 地 址 ? 

(7) 要 显示 NAT 配置 摘要 、 活 动 转换 条 目 数 以 及 现 有 转换 条 目的 命中 次 数 并 进行 故障 排除 ， 可 使 
用 哪个 命令 ? 

(8) 要 让 NAT 对 地 址 进行 转换 ， 必 须 在 路 由 器 接口 上 配置 哪些 命令 ? 

(9) 下 面 的 命令 配置 的 是 哪 种 类 型 的 NAT? 

ip nat pool todd-nat 170.168.10.10 170.168.10.20 netmask 255.255.255.0 

(10) 可 使 用 关键 字 代替 netmask。 


13.9 ”动手 实验 


以 下 实验 将 用 到 一 些 基 本 路 由 器 一 一 几乎 任何 思科 路 由 器 都 可 以 。 
本 章 的 动手 实验 如 下 。 
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动手 实验 13.1: 为 使 用 NAT 作 准 备 。 

动手 实验 13.2: 配置 动态 NAT。 

动手 实验 13.3: 配置 PAT。 

这 些 动手 实验 将 使 用 如 下 图 所 示 的 网 络 。 强 烈 建议 你 连接 路 由 器 完成 这 些 实验 。 在 Lab A 上 配置 
NAT， 将 网 络 192.168.10.0 中 的 私有 下 地 址 转换 为 网 络 171.168.10.0 中 的 公有 地 址 。 


IS 
表 13-3 列 出 了 将 使 用 的 命令 以 及 每 个 命令 的 用 途 。 
表 13-3 NAT/PAT 动 手 实验 用 到 的 命令 


命令 用 途 
ip nat inside source list ac]1 pool name 将 与 ACL 匹 配 的 下 地 址 转换 为 地 址 池 中 的 地 址 
ip nat inside source static inside_addr outside_addr 将 内 部 本 地 地 址 静态 地 映射 到 外 部 全 局 地 址 
ip nat pool name 创建 地 址 池 
ip nat inside 将 接口 设置 为 内 部 接口 
ip nat outside 将 接口 设置 为 外 部 接口 
show ip nat translations 显示 当前 的 NAT 转 换 条 目 


13.9.1 ”动手 实验 13.1: 为 使 用 NAT 作 准 备 


在 这 个 实验 中 ， 你 将 给 路 由 器 配置 IP 地 址 和 RIP 路 由 选择 。 
(1) 按 表 13-4 给 路 由 器 配置 PP 地址 。 
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表 13-4 ”给 路 由 器 配置 的 IP 地 址 


路 由 器 接 口 IP 地 址 
ISP S0 171.16.10.1/24 
Lab A S0/2 171.16.10.2/24 
Lab A SO0/0 192.168.20.1/24 
Lab_B S0 192.168.20.2/24 
Lab_B E0 192.168.30.1/24 
Lab C E0 192.168.30.2/24 


给 路 由 器 配置 IP 地 址 后 ， 就 应 该 能 够 从 一 台 路 由 器 ping 另 一 台 路 由 器 了 ; 但 执行 下 一 步 后 路 由 
器 才 会 运行 路 由 选择 协议 ， 因 此 在 配置 RIP 前 ， 只 能 验证 相 邻 路 由 器 之 间 的 连接 性 ， 而 无 法 验证 穿越 
整个 网 络 的 连接 性 。 你 可 使 用 任何 路 由 选择 协议 , 但 简单 起 见 ， 笔 者 使 用 RIP。 

(2) 在 Lab_A 上 ， 配置 RIP、 设 置 一 个 被 动 接口 并 配置 默认 网 络 : 

Lab_A#config t 

Lab A(config)#router rip 

Lab_A(config-router)#network 192.168.20.0 

Lab A(config-router)#network 171.16.0.0 

Lab_A(config-router)#passive-interface s0/2 

Lab_A(config-router)#exit 

Lab_A(config)#ip default-network 171.16.10.1 


命令 passive-interface 禁止 将 RIP 更 新 发 送 给 路 由 器 ISP， 而 命令 ip default-network 将 
一 个 默认 网 络 通告 给 其 他 路 由 器 ， 让 它们 知道 如 何 前 往 因 特 网 。 

(3) 在 Lab B 上， 配置 RIP: 

Lab_B#config 七 

Lab_B(Cconfig)#router rip 

Lab_BCconfig-router)#network 192.168.30.0 

Lab_B(config-router)#network 192.168.20.0 

(4) 在 Lab_C 上 ， 瑟 置 RIP: 

Lab_C#confiig 七 

Lab_C(config)#router rip 

Lab_C(config-router)#network 192.168.30.0 

(5) 在 路 由 器 ISP 上 ， 配 置 一 条 前 往 公司 网 络 的 默认 路 由 : 

ISP#config t 

ISPCconfig)#ip route 0.0.0.0 0.0.0.0 s0 

(6) 配置 路 由 器 ISP， 让 你 能 够 远程 登录 到 该 路 由 器 ， 且 不 要 求 输入 密码 ; 

ISP#config t 

ISP(config)#line vty 0 4 

ISP(config-1ine)#no login 


(7) 核实 能 够 从 路 由 器 ISP ping 路 由 器 Lab_C, 且 能 够 从 路 由 器 Lab_C ping 路 由 器 ISP。 如 果 不 能 ， 
请 排除 网 络 故障 。 


13.9 动手 实验 S15 


13.9.2 ”动手 实验 13.2: 配置 动态 NAT 


该 实验 要 求 你 在 路 由 器 Lab A 上 配置 NAT。 

(1) 在 路 由 器 Lab A 上 ， 创 建 一 个 名 为 GlobalNet 的 地 址 池 。 该 地 址 池 应 包含 地 址 171.16.10.50 一 
171.16.10.55。 

Lab_A(config)#ip nat pool GlobalNet 171.16.10.50 171.16.10.55 

net 255.255.255.0 

(2) 创建 访问 控制 列表 1， 它 指定 对 来 自 网 络 192.168.20.0 和 192.168.30.0 的 数据 流 进行 转换 。 

Lab_A(config)#access-list 1 permit 192.168.20.0 0.0.0.255 

Lab_A(config)#access-list 1 permit 192.168.30.0 0.0.0.255 

(3) 使 用 前 面 创建 的 访问 控制 列表 和 地 址 池 配 置 NAT。 

Lab AC(config)#ip nat inside source list 1 pool GlobalNet 

(4) 将 接口 s0/0 配置 为 内 部 接口 。 

Lab_ACconfig)#int s0/0 

Lab_A(config-if)#ip nat inside 

(5) 将 接口 s0/2 配置 为 外 部 接口 。 

Lab_A(config-if)#int s0/2 

Lab A(Cconfig-if)#ip nat outside 

(6) 将 控制 台 连接 到 路 由 器 Lab_C， 并 登录 到 该 路 由 器 ， 然 后 从 该 路 由 器 远程 登录 到 路 由 器 ISP。 

Lab_C#telnet 171.16.10.1 

(7) 将 控制 台 连 接 到 路 由 器 Lab_B， 并 登录 到 该 路 由 器 ， 然 后 从 该 路 由 器 远程 登录 到 路 由 器 ISP。 

Lab_B#telnet 171.16.10.1 

(8) 在 路 由 器 ISP 上 执行 命令 show users， 以 显示 谁 在 访问 VTY 线路 。 

ISP#show users 

(a) 该 命令 输出 中 的 源 全 地址 是 什么 ? 

(b) 公有 源 人 PP 地 址 是 什么 ? 

命令 show users 的 输出 类 似 于 下 面 这 样 : 

ISP>sh users 


Line User Host(s) Idle Location 
0 con 0 idle 00:03:32 
2 vty 0 idle 00:01:33 171.16.10.50 
* 3vtyl1 idle 00:00:09 171.16.10.51 
Interface User Mode Idle Peer Address 
ISP> 


(9) 在 不 关闭 ISP 会 话 的 情况 下 连接 到 Lab A ( 按 Ctrl + Shift + 6， 再 按 X)。 
(10) 登录 到 路 由 器 Lab A， 并 使 用 命令 show ip nat translations 显示 当前 的 转换 条 目 。 输 
出 应 类 似 于 下 面 这 样 : 
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Lab_A#sh ip nat transjations 


Pro Inside global Inside 1ocal Outside local Outside global 
--- 171.16.10.50 192.168.30.2 -一 胃 上 名 

--- 171.16.10.51 192.168.20.2 --- se 

Lab_A# 


主机 连接 到 因特网 ， 就 需要 多 少 个 公有 卫 


映射 是 一 对 一 的 ， 这 意味 着 有 多 少 台 
注意 。 地 址 ,但 这 样 的 条 件 并 非 总 是 能 够 满足 。 


(11) 如 果 在 路 由 器 Lab A 上 执行 命令 debug ip nat， 再 ping 其 他 路 由 器 ,将 看 到 NAT 过 程 ， 
如 下 所 示 : 

00:32:47: NAT*: S=192.168.30.2->171.16.10.50，d=171.16.10.1 [5] 

00:32:47: NAT*: s=171.16.10.1, d=171.16.10.50->192.168.30.2 


13.9.3 ”动手 实验 13.3: 配置 PAT 


这 个 实验 要 求 你 在 路 由 器 Lab_A 上 配置 端口 地 址 转换 ( PAT )。 之 所 以 使 用 PAT, 是 因为 我 们 不 想 
进行 一 对 一 的 转换 ， 而 想 只 使 用 一 个 公有 IP 地 址 就 让 网 络 中 的 所 有 用 户 都 能 连接 到 因特网 。 

(1) 在 路 由 器 Lab A 上 ， 删 除 转换 表 的 内 容 ， 再 删除 动态 NAT 地 址 池 。 

Lab_A#clear ip nat transliations * 

Lab_A#config 七 

Lab_A(config)#no ip nat pool GlobalNet 171.16.10.50 

171.16.10.55 netmask 255.255.255.0 

Lab_A(Cconfig)#no ip nat inside source list 1 pool GlobalNet 

(2) 在 路 由 器 Lab_A 上 ,创建 一 个 名 为 Lammle 的 NAT 地 址 池 , 它 只 包含 一 个 地 址 -71.16.10.100。 
为 此 ， 输 入 如 下 命令 : 

Lab_A#config 七 

Lab_A(Cconfig)#ip nat pool Lammle 171.16.10.100 171.16.10.100 

net 255.255.255.0 

(3) 创建 访问 控制 列表 2， 它 指定 要 对 来 自 网 络 192.168.20.0 和 192.168.30.0 的 数据 流 进行 转换 。 

Lab_A(config)#access-list 2 permit 192.168.20.0 0.0.0.255 

Lab_A(config)#access-list 2 permit 192.168.30.0 0.0.0.255 

(4) 使 用 前 面 创建 的 访问 控制 列表 和 地 址 池 配 置 NAT， 并 使 用 关键 字 over1oad 指定 使 用 PAT。 

Lab_A(config)#ip nat inside source list 2 pool Lammle overload 

(5) 登录 到 路 由 器 Lab C， 再 远程 登录 到 路 由 器 ISP; 另外 ， 登 录 到 路 由 器 Lab_B， 再 远程 登录 到 
路 由 器 ISP。 

(6) 在 路 由 器 ISP 上 ， 执 行 命令 show users， 其 输出 应 类 似 于 下 面 这 样 : 

ISP>sh users 

Line User Host(s) Idle Location 
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* 0 cond0 idle 00:00:00 


2 vty 0 idle 00:00:39 171.16.10.100 
4 vty 2 idle 00:00:37 171.16.10.100 
Interface User Mode Idle Peer Address 

ISP> 


(7) 在 路 由 器 Lab A 上， 执行 命 令 show ip nat translations。 

Lab _A#sh ip nat translations 

Pro Inside global Inside local Outside local Outside global 

tcp 171.16.10.100:11001 192.168.20.2:11001 171.16.10.1:23 171.16.10.1:23 

tcp 171.16.10.100:;11002 192.168.30.2:11002 171.16.10.1:23 171.16.10.1:23 

(8) 在 路 由 器 Lab_A 上 执行 命令 debug ip nat， 然 后 从 路 由 器 Lab_C ping 路 由 器 ISP， 你 会 看 到 
类 似 于 下 面 的 输出 : 

01:12:36: NAT: s=192.168.30.2->171.16.10.100, d=171.16.10.1 [35] 


01:12:36: NAT*; s=171.16.10.1, d=]171.16.10.100->192.168.30.2 [35] 
01:12:36: NAT*: Ss=192.168.30.2->171.16.10.100，d=171.16.10.1 [36] 
01:12:36: NAT*: s=171.16.10.1, d=171.16.10.100->192.168.30.2 [36] 
01:12:36: NAT*: s=192.168.30.2->171.16.10.100, d=171.16.10.1 [37] 
01:12:36: NAT*: s=171.16.10.1, d=171.16.10.100->192.168.30.2 [37] 
01:12:36: NAT*: s=192.168.30.2->171.16.10.100, d=171.16.10.1 [38] 
01:12:36: NAT*: s=171.16.10.1, d=171.16.10.100->192.168.30.2 [38] 
01:12:37: NAT*: Ss=192.168.30.2->171.16.10.100，d=171.16.10.1 [39] 
01:12:37: NAT*: s=171.16.10.1, d=171.16.10.100->192.168.30.2 [39] 


13.10 ”复习 题 


下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获 取 更 多 复习 题 的 
注意 。 信息 ， 请 参阅 本 书 的 前 言 。 


(1) 下 面 哪 3 项 是 使 用 NAT 的 缺点 ? 
A. 导致 交换 延迟 B. 节省 合法 的 注册 地 址 
C. 导致 无 法 进行 端 到 端 他 跟踪 D. 提高 了 连接 到 因特网 的 灵活 性 
E. 启用 NAT 后 ， 有 些 应 用 程序 将 无 法 正常 运行 F. 可 减少 地 址 重 释 的 情况 发 生 
(2) 下 面 哪 3 项 是 使 用 NAT 的 优点 ? 
A. 导致 交换 延迟 B. 节省 合法 的 注册 地 址 
C. 导致 无 法 进行 端 到 端 卫 跟踪 D. 提高 了 连接 到 因特网 的 灵活 性 
E. 启用 NAT 后 ， 有 些 应 用 程序 将 无 法 正常 运行 F. 为 地 址 重要 提供 了 解决 方案 


(3) 下 面 哪个 命令 能 够 实时 查看 路 由 器 执行 的 转换 ? 
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A. show ip nat transliations B. show ip nat statistics 

C. debug ip nat | D. clear ip nat translations * 
(4) 下 面 哪个 命令 显示 路 由 器 中 的 所 有 活动 转换 条 目 ? 

A. show ip nat translations B. show ip nat statistics 

C.debug ip nat D. clear ip nat translations * 
(5) 下 面 哪 个 命令 清除 路 出 器 中 所 有 的 活动 转换 条 目 ? 

A, show ip nat trans1Tations B. show ip nat statistics 

C. debug ip nat D. clear ip nat translations * 
(6) 下面 哪个 命令 显示 NAT 配置 摘要 ? 

A. show ip nat translations B. show ip nat statistics 

C. debug ip nat D. clear ip nat translations * 


(7) 下 面 哪个 命令 创建 一 个 名 为 Todd 上 且 包 含 30 个 全 局 地 址 的 动态 地 址 池 ? 
A. ip nat pool Todd 171.16.10.65 171.16.10.94 net 255.255.255.240 
B. ip nat pool Todd 171.16.10.65 171.16.10.94 net 255.255.255.224 
C. ip nat pool todd 171.16.10.65 171.16.10.94 net 255.255.255.224 
D. ip nat pool Todd 171.16.10.1 171.16.10.254 net 255.255.255.0 
(8) 下 面 哪 3 项 是 NAT 方法 ? 
A. 静态 B. IP NAT 地 址 池 C. 动 态 
D. NAT 双重 转换 E. 重 载 
(9) 创建 地 址 池 时 ， 可 使 用 下 面 哪个 关键 字 代替 netmask? 


A./ (和 斜 杠 标记 ) B. prefix-length C.no mask D. block-size 
(10) 如 果 路 由 器 未 进行 地 址 转换 ， 首 先 采 取 下 面 哪 种 做 法 是 种 不 错 的 选择 ? 

A. 重启 路 由 器 B. 致电 思科 

C. 检查 接口 的 配置 是 否 正确 D. 运行 命令 debug al1 


(11) 下 面 哪 3 项 是 运行 NAT 的 合理 原因 ? 

A. 需 要 连接 到 因特网 ， 但 主机 没有 全 局 唯一 的 全 地 址 

B. 因 更 换 ISP 而 需要 给 网 络 重新 编 址 

C. 不 想 让 任何 主机 连接 到 因特网 

D. 需要 合并 两 个 使 用 重复 地 址 的 内 联网 
(12) 下 面 哪 项 是 转换 后 的 内 部 主机 地 址 ? 

A. 内 部 本 地 地 址 B. 外 部 本 地 地 址 C. 内 部 全 局 地 址 D. 外 部 全 局 地 址 
(13) 下 面 哪 项 是 转换 前 的 内 部 主机 地 址 ? 

A. 内 部 本 地 地 址 B. 外 部 本 地 地 址 C. 内 部 全 局 地 址 D. 外 部 全 局 地 址 
(14) 从 下 述 输出 可 知 ， 可 使 用 哪个 命令 配置 这 种 动态 转换 ? 

Router#show ip nat trans 

Pro Inside global Inside local Outside local Outside g1obal 

-~-- 1.1.128.1 10.1.1.1 --- --- 

--- 1.1.130.178 10.1.1.2 -=-- --- 

--- 1.1.129.174 10.1.1.10 -—- SS 

--- 1.1.130.101 10.1.1.89 --- -一 

--- 1.1.134.169 10,1.1.100 -= 一 人 

--- 1.1.135.174 10.1.1.200 --- --- 
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A.ip nat inside source pool todd 1.1.128.1 1.1.135.254 prefix-length 19 
B. ip nat pool todd 1.1.128.1 1.1.135.254 prefix-length 19 
C. ip nat pool todd 1.1.128.1 1.1.135.254 prefix-length 18 
D. ip nat pool todd 1.1.128.1 1.1.135.254 prefix-length 21 


(15) 如 果 内 部 本 地 地 址 未 转换 为 内 部 全 局 地 址 ， 可 使 用 下 面 哪个 命令 确定 内 部 本 地 地 址 是 否 可 使 用 
NAT 地 址 池 ? 
ip nat pool Corp 198.18.41.129 198.18.41.134 netmask 255.255.255.248 
ip nat inside source 11st 100 int pool Corp overload 


A. debug ip nat B. show access-1ist 
C. show ip nat translation D. show ip nat statistics 
(16) 在 私有 网 络 接口 上 ， 应 配置 下 面 哪个 命令 ? 
A.ip nat inside B. ip nat outside 
C. ip outside global D. ip inside 1ocal 
(17) 在 连接 到 因特网 的 接口 上 ， 应 配置 下 面 哪个 命令 ? 
A.ip nat inside B. ip nat outside 
C. jp outside global D. ip inside local 
(18) 端口 地 址 转换 也 叫 什 么 ? 
A. 快 速 NAT B. 静态 NAT C. NAT 重 载 D. 重 载 静态 


(19) 在 下 面 的 输出 中 ， 星 号 (*) 表示 什么 意思 ? 
NAT*: s=172.16.2.2, d=192.168.2.1->10.1.1.1 [1] 
A. 分 组 的 目的 地 为 路 由 器 的 本 地 接口 B. 分 组 被 转换 并 快速 交换 到 目的 地 
C. 试图 对 分 组 进行 转换 ， 但 以 失败 告终 D. 分 组 被 转换 ， 但 远程 主机 没有 响应 
(20) 要 启用 PAT， 需 要 在 配置 中 添加 下 述 哪 个 命令 ? 
ip nat pool Corp 198.18.41.129 198.18.41.134 netmask 255.255.255.248 
access-]l]ist 1 permit 192.168.76.64 0.0.0.31 


A.ip nat pool inside overload 

B.ip nat inside source list 1 pool Corp overload 

C.ip nat pool outside overload 

D.ip nat pool Corp 198.41.129 net 255.255.255.0 overload 


13.11 复习 题 答案 


(1)A、C 和 E。NAT 并非 十 全 十 美 ， 在 有 些 网 络 中 会 导致 一 些 问 题 ,， 但 适用 于 大 部 分 网 络 。NAT 可 能 
导致 延迟 ， 给 故障 排除 带 来 问题 ， 还 可 能 导致 有 些 应 用 程序 无 法 正常 运行 。 

(2) B、D 和 F。NAT 虽然 并 非 十 全 十 美 , 但 也 有 一 些 优点 。 它 可 节省 全 局 地 址 ， 在 无 需 使 用 公有 
IP 地 址 的 情况 下 ,就 可 向 因特网 中 添加 数 百 万 台 主 机 。 它 提高 了 公司 网 络 的 灵活 性 。 另 外 ，NAT 还 让 
你 能 够 在 同一 个 网 络 中 多 次 使 用 同一 个 子 网 ， 而 不 会 导致 地 址 重 到 的 问题 。 

(3) C。 命 令 debug ip nat 实时 显示 路 由 器 执行 的 转换 。 

(4) A。 命 令 show ip nat translations 显示 转换 表 ， 其 中 包含 所 有 活动 的 NAT 条目 。 

(5) D。 命令 clear ip nat translations * 清 除 转 换 表 中 所 有 活动 的 NAT 条 目 。 

(6) B。 命 令 show ip nat statistics 显示 NAT 配置 摘要 、 活 动 转换 条 目 数 、 命 中 现 有 转换 条 目的 
次 数 、 没 有 匹配 转换 条 目 ( 这 将 导致 试图 创建 新 转换 条 目 ) 的 次 数 以 及 到 期 的 转换 条 目 数 。 

(7)B。 命 令 ip nat poo1 name 创建 地 址 池 ， 主 机 可 使 用 其 中 的 地 址 连接 到 因特网 。 答 案 B 之 所 以 正 
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确 ， 是 因为 范围 171.16.10.65 一 171.16.10.94 包含 30 台 主 机 ， 而 子 网 掩 码 必须 与 之 匹配 ， 即 子 网 掩 码 应 为 
255.255.255.224。 答 案 C 不 正确 ， 因 为 地 址 池 名 称 中 使 用 了 小 写字 母 t， 而 地 址 池 名 称 是 区 分 大 小 写 的 。 

(8) A、C 和 E。 在 思科 路 由 器 上 , 可 配置 3 种 类 型 的 NAT: 静态 NAT、 动 态 NAT 和 NAT 重 载 (PAT ) 。 

(9) B。 可 使 用 prefix-1ength length 代替 netmask。 

(10) C。 要 让 NAT 提供 转换 服务 ,必须 在 合适 的 路 由 器 接口 上 配置 ip nat inside 和 1ip nat outside。 

(11) A、B 和 D。NAT 最 常见 的 用 途 是 ， 在 主机 没有 全 局 IP 地 址 的 情况 下 连接 到 因特网 。 但 答案 B 和 
D 也 是 正确 的 。 

(12) C。 对 私有 网 络 中 主机 的 中 地 址 进行 转换 后 ， 得 到 的 是 内 部 全 局 地 址 。 

(13) A。 在 转换 前 ， 私 有 网 络 中 主机 的 下 地 址 被 称 为 内 部 本 地 地 址 。 

(14) D。 要 回答 这 个 问题 ， 只 需 确定 内 部 全 局 地 址 池 。 内 部 全 局 地 址 的 范围 为 1.1.128.1 一 1.1.135.174， 
其 第 三 个 字 节 对 应 的 地 址 块 为 8 ， 这 对 应 于 子 网 掩 码 /21。 要 找 出 正确 答案 ， 只 需 确定 块 大 小 和 相关 的 字 节 。 

(15) B。 创 建 地址 池 后 ， 必 须 使 用 命令 ip nat inside source 指定 哪些 内 部 本 地 地 址 可 使 用 该 地 址 
池 。 为 回答 这 个 问题 ， 需 要 检查 访问 控制 列表 100 是 否 配置 正 确 ， 因 此 最 佳 答案 是 show access-1ist。 

(16) A。 要 让 NAT 提供 转换 服务 ， 必 须 配 置 接口 。 在 内 部 网 络 接口 上 ， 应 配置 命令 ip nat inside; 
而 在 外 部 网 络 接口 上 ， 应 配置 命令 ip nat outside。 

(17) B。 要 计 NAT 提供 转换 服务 ， 必 须 配置 接口 。 在 内 部 网 络 接口 上 ， 应 配置 命令 ip nat insidei 
而 在 外 部 网 络 接口 上 ， 应 配置 命令 ip nat outside。 

(18) C。 端 口 地 址 转换 也 叫 NAT 重 载 ， 因 为 要 启用 端口 地 址 转换 ， 需 要 使 用 关键 字 overload。 

(19) B。 在 思科 路 由 器 上 ,使 用 快速 交换 来 创建 路 由 缓存 ， 以 免 转发 每 个 分 组 时 都 对 路 由 选择 表 进 行 分 
析 ， 从 而 让 分 组 快速 通过 路 由 器 。 对 分 组 进行 进程 交换 ( 查看 路 由 选择 表 ) 时 ， 路 由 信息 将 被 存储 到 缓存 
中 ， 供 以 后 需要 时 使 用 ， 以 提高 路 由 选择 速度 。 

(20) B。 创 建 供 内 部 主机 用 于 连接 到 因特网 的 地 址 池 后 , 必须 配置 让 内 部 主机 能 够 使 用 该 地 址 池 的 命令 。 
这 个 问题 的 正确 答案 是 ip nat inside source 1ist number pool-name overload。 


13.12 书面 实验 13 答案 


(1) 端口 地 址 转换 (PAT ) ， 也 叫 NAT 重 载 
(2) debug ip nat 

(3) show ip nat translations 

(4) clear ip nat translations * 

(5) 转换 前 

(6) 转换 后 

(7) show ip nat statistics 

(8) 命令 ip nat inside 和 1ip nat outside 
(9) 动态 NAT 

(10) prefix-length 
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本 章 涵盖 如 下 CCNA 考试 要 点 。 

v 阐述 并 选择 组 建 WLAN 所 需 完成 的 管理 任务 

口 描述 与 无 线 介质 相关 的 标准 ， 包 括 IEEE WI-FI 联盟 标准 和 ITU/FCC 标准 ; 

口 识别 小 型 无 线 网 络 中 的 组 件 并 描述 它们 的 用 途 ， 包 括 SSID、BSS 和 ESS; 

口 识别 无 线 网 络 的 基本 配置 参数 ， 以 确保 设备 连接 到 正确 的 接 人 点 ; 

口 比较 无 线 安 全 功能 和 WPA 的 功能 ， 包 括 不 限制 接 人 (open )、WEP、WPA-1 和 WPA-2; 

口 识别 无 线 网 络 常见 的 问题 ， 包 括 接 口 和 配置 错误 。 

在 咖啡 厅 喝 咖啡 或 在 机 场 等 待 登 机 时 ， 你 不 再 需要 为 打发 无 聊 时 光 而 阅读 纸 质 杂 志 了 。 当 前 , 很 
容易 连接 到 无 线 局 域 网 ， 阅 读 邮件 和 博客 、 玩 游戏 甚至 将 工作 完成 ! 很 多 人 入 住 酒店 时 ， 都 会 默认 酒 
店 提供 无 线 上 网 设施 。 显 然 ， 无 论 你 身 处 IT 领域 还 是 想 进 人 该 领域 ， 都 应 了 解 无 线 网 络 组 件 及 其 相 
关 的 安装 因素 。 

头脑 中 有 了 这 种 意识 后 ， 我 们 就 有 了 一 个 非常 不 错 的 起 点 ， 现 在 让 我 们 来 开始 本 章 内 容 的 学 习 。 
要 理解 当今 最 常用 的 无 线 LAN ( WLAN )， 可 想 想 使 用 集线器 的 10BaseT 以 太 网 ， 只 是 无 线 设备 连接 
的 是 接 入 点 ( AP，Access Point )。 这 意味 着 WLAN 采用 的 是 半 双 工 通 信 : 带宽 由 所 有 用 户 共享 ， 且 
每 个 频道 不 支持 多 台 设 备 同 时 通信 。 

这 并 不 算 糟 糕 ， 只 是 不 够 好 。 鉴 于 当前 大 多 数 人 都 依赖 于 无 线 网 络 ， 这 种 网 络 必须 风 驰 电 捍 地 发 
展 ， 才 能 满足 快速 增长 的 需求 。 好 消息 是 情况 确实 如 此 ， 且 同时 确保 了 通信 的 安全 。 

本 章 将 首先 介绍 各 种 类 型 的 无 线 网 络 , 然后 讨论 组 建 简单 无 线 网 络 所 需 的 基本 设备 并 介绍 基本 的 
无 线 拓扑 并 概述 无 线 VoIP ( WVolIP )， 最 后 介绍 无 线 安 全 。 


有 关 本 章 内 容 的 最 新 修订 ， 请 访问 www.lammle.com 或 www.sybex.com/go/ 
注意 ccna7eo 


14.1 无 线 技术 简介 


无 线 网 络 形式 多 样 ， 覆 盖 范 围 各 不 相同 ， 提 供 的 带宽 也 不 同 。 当 前 ， 典 型 的 无 线 网 络 是 对 以 太 网 
LAN 的 扩展 ， 无 线 主机 使 用 MAC 地址、 耳 地 址 等 ， 就 像 有 线 LAN 中 的 主机 一 样 。 图 14-1 显示 了 当 
今 简单 的 典型 无 线 LAN。 
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14-1 无线 LAN 是 现 有 LAN 的 扩展 


然而 , 无 线 网 络 不 仅仅 是 普通 LAN， 因 为 它们 是 无 线 的 。 前面 说 过 , 无 线 网 络 的 覆盖 范围 各 不 相 


同 ， 从 小 范围 的 个 域 网 (personal area network ) 到 覆盖 范围 极 大 的 广域网 (WAN )。 图 14-2 说 明了 当 
今 的 各 种 无 线 网 络 及 其 覆盖 范围 。 


14-2 ”当今 的 无 线 网 络 
对 无 线 网 络 有 大 致 了 解 后 ， 下 面 介绍 当今 WLAN 中 典型 的 无 线 设备 。 


14.2 基本 的 无 线 设备 


你 现在 可 能 还 感觉 不 到 这 一 点 , 事实 上 ， 简 单 的 无 线 网 络 ( WLAN ) 比 有 线 局 域 网 更 简单 ， 因 为 
它们 需要 的 组 件 更 少 。 要 让 基本 的 无 线 网 络 正常 运行 ， 只 需 两 台 主 要 设备 : 无 线 接 人 点 和 无 线 网 卡 
(NIC )。 这 也 使 安装 无 线 网 络 容易 得 多 ， 因 为 只 需 理 解 这 两 种 组 件 就 能 安装 。 显 然 ， 无 线 网 络 越 来 越 
先进 ， 也 越 来 越 复 杂 ， 但 现在 暂时 不 要 为 此 担心 。 

14.2.1 无 线 接 入 点 


在 大 多 数 有 线 网 络 中 ， 都 有 诸如 交换 机 等 中 央 组 件 ， 它 将 主机 连接 起 来 ， 让 它们 能 够 彼此 通信 。 
无 线 网 络 亦 如 此 ， 它 们 也 包含 将 所 有 无 线 设备 连接 起 来 的 组 件 ， 只 是 这 种 组 件 被 称 为 无 线 接 入 点 
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(AP )。 无 线 接 人 点 至 少 有 一 根 天 线 , 但 为 更 好 地 接收 信号 , 通常 有 两 根 天 线 ; 它 还 有 一 个 以 太 网 端口 ， 
用 于 连接 到 有 线 网 络 。 
接 人 点 具有 如 下 特点 。 
口 它 类 似 于 有 线 网 络 中 的 交换 机 和 集线器 ， 充 当 无 线 工作 站 的 中 央 连 接点 。 鉴 于 无 线 网 络 的 半 
双 工 特征 ，AP 更 像 集线器 ， 虽 然 在 当今 的 有 线 网 络 中 ， 已 难 观 集线器 的 身影 。 

口 AP 至 少 有 一 根 天 线 ， 但 通常 有 两 根 甚至 更 多 。 

口 AP 是 到 有 线 网 络 的 桥梁 ， 让 无 线 工 作 站 能 够 访问 有 线 网 络 和 因特网 。 

口 小 型 办 公 室 /家 庭 办 公 室 ( SOHO ) AP 有 两 类 : 独立 AP 和 无 线路 由 器 ， 它 们 可 能 (通常 也 确 

实 ) 提供 NAT 和 DHCP 等 功能 。 

可 将 AP 比 作 和 集线器 ( 虽然 这 种 类 比 不 完全 正确 )， 因 为 它 不 像 交 换 机 那样 ,让 每 条 连接 都 是 一 个 
独立 的 冲突 域 , 但 AP 确实 比 集线器 聪明 。AP 是 一 种 转发 设备 , 将 网 络 数 据 流 转发 到 有 线 主干 或 无 线 
区 域 ,， 到 有 线 网 络 的 连接 称 为 分 发 系统 ( Distribution System，DS )，AP 还 保存 无 线 帧 中 的 MAC 地 址 
信息 。 


14.2.2 无 线 网 络 接口 卡 《WNIC) 


要 连接 到 无 线 网 络 ， 主 机 必须 有 无 线 网 络 接口 卡 。 无 线 NIC 所 做 的 工作 与 传统 以 太 网 NIC 基本 
相同 ， 但 没有 用 于 插入 电缆 的 插口 /端口 ， 而 装备 了 无 线 天 线 。 
当前 ， 市 面 上 的 笔记 本 电脑 几乎 都 内 置 了 无 线 网 卡 。 


14.2.3 “无线 天 线 


无 线 天 线 与 收发 器 协同 工作 。 当 前 ， 市 面 上 的 天 线 分 为 两 大 类 : 全 向 天 线 (点 到 多 点 ) 和 定向 天 
线 (点 到 点 )。 

在 增益 相同 的 情况 下 ， 定 向 天 线 的 覆盖 范围 通常 比 全 向 天 线 大 。 为 什么 呢 ? 因为 定向 天 线 将 全 部 
功率 都 用 于 一 个 方向 。 全 向 天 线 必须 在 所 有 方向 上 平均 分 配 功率 ， 就 像 是 一 个 巨型 环 状 线圈 。 

定向 天 线 的 一 个 缺点 是 ， 必 须 更 准确 地 对 准 通信 点 。 这 也 是 大 多 数 AP 都 使 用 全 向 天 线 的 原因 所 
在 , 因为 客户 端 和 其 他 AP 可 能 位 于 任何 方向 , 但 办 公 室 / 家 庭 /企业 的 需求 各 不 相同 , 安装 无 线 网 络 前 ， 
必须 仔细 考虑 天 线 的 位 置 。 

为 理解 全 向 天 线 ， 可 想 想 车 载 天 线 。 车 载 天 线 虽然 与 联网 无 关 , 但 有 助 于 说 明 这 样 的 事实 : 无 论 
收听 的 是 哪个 广播 电台 ,汽车 的 朝向 都 不 会 影响 对 信号 的 接收 。 准 确 地 说 是 大 多 数 情况 下 都 如 此 。 如 
果 身 处 郊区 ， 就 无 法 收 到 信号 ， 因 为 这 超出 了 它 的 覆盖 范围 一 一 用 于 联网 的 全 向 天 线 亦 如 此 。 


在 办 公 室 安装 AP 时， 务必 让 天 线 远离 带 全 属 的 设备 ， 以 免 信 号 被 阻 断 或 反射 。 


14.3 ”无 线 管制 
大 多 数 无 线 网 络 都 使 用 ISM (Industrial 、Scientific and Medical ) 频段 。 但 能 够 使 用 某 个 频段 ( 频 


524 第 14 章 思科 无 线 技术 


率 范围 ) 并 不 意味 着 你 想 怎 么 使 用 就 怎么 使 用 。 要 让 无 线 设备 能 够 彼此 通信 ， 它 们 必须 明白 各 种 调制 
方法 ， 如 何 对 帧 进行 编码 ， 帧 中 应 包含 的 报头 类 型 以 及 使 用 的 物理 传输 机 制 等 。 另 外 ， 还 必须 准确 地 
定义 它们 ， 否 则 这 些 设备 将 无 法 彼此 通信 。 以 上 内 容 都 是 由 IEEE 规定 的 。 

IEEE 通信 委员 会 定义 了 多 个 网 络 通信 和 领域 ， 而 这 些 领域 被 进一步 划分 成 工作 组 。 这 就 是 当今 的 
大 多 数 网 络 协议 都 以 802 打头 的 原因 一 一 80 表示 1980 年 , 2 表示 二 月 份 。 所 有 厂商 在 生产 无 线 设 备 时 
都 遵守 IEEE 802.11 系列 协议 规范 ， 因 此 ， 每 台 无 线 设 备 的 第 1 层 和 第 2 层 的 功能 都 是 由 IEEE 802.11 
系列 协议 定义 的 。 


14.3.1 IEEE 802.11 传输 


根据 802.11 规范 传输 信号 时 ， 其 工作 原理 与 以 太 网 集线器 很 像 : 进行 双向 通信 、 使 用 相同 的 频率 
收发 数据 ， 但 不 能 同时 传输 和 接收 ( 本 章 开头 说 过 ， 这 被 称 为 半 双 工 )。 

当然 ， 还 可 提高 传输 功率 ， 以 增 大 传输 距离 ， 但 这 样 做 可 能 导致 信号 失真 ， 必 须 遵 慎 ! 可 使 用 更 
高 的 频率 ， 以 提高 传输 速度 ， 但 不 幸 的 是 ， 这 将 付出 巨大 的 代价 一 “降低 传输 距离 。 如 果 选 择 使 用 较 
低 的 频率 , 传输 距离 将 更 远 ,但 传输 速度 更 低 。 仅 这 一 点 就 足以 让 你 认识 到 , 熟悉 各 种 可 实现 的 WLAN 
有 多 重要 。 要 拿 出 最 佳 的 LAN 解决 方案 , 即 最 能 满足 独特 情形 需求 的 解决 方案 , 将 是 一 种 极 大 的 挑战 。 

另外 ,制定 802.11 规范 站 在 避 开 大 多 数 国家 的 许可 要 求 ,让 你 能 够 随心 所 欲 地 安装 和 运行 无 线 网 
络 ， 而 无 需 支 付 任何 许可 或 运行 费用 。 这 还 意味 着 任何 制造 商都 可 生产 无 线 网 络 产 品 ， 并 在 电脑 商店 
或 任何 地 方 销售 ; 而 所 有 的 计算 机 都 能 够 以 无 线 方式 进行 通信 ， 而 无 需 太 多 配置 。 

长 期 以 来 , 有 多 家 机 构 帮 助 管制 无 线 设备 和 频率 的 使 用 以 及 制定 标准 。 表 14-1 列 出 了 当前 负责 抽 
定 、 维 护 和 实施 无 线 标准 的 机 构 。 


表 14-1 无 线 机 构 和 标准 


机 构 职 责 网 站 
电气 和 电子 工程 师 协会 (IEEE ) 制定 和 维护 标准 www.ieee.org 
联邦 通信 委员 会 (FCC ) 管制 美国 的 无 线 设备 使 用 WWW bc.g0v 
欧洲 电信 标准 协会 (ETSI) 制定 欧洲 的 常用 标准 www.etsi.org 
Wi-Fi 联 盟 改善 和 测试 WLAN 的 互 操作 性 www.wi-fi.com 


WLAN 使 用 无 线 频率 ， 因 此 有 关 AM/FM 广播 的 法 律 也 适用 于 WLAN。 在 美国 ， 无 线 LAN 设备 
的 使 用 由 联邦 通信 委员 会 《FCC ) 管制 。 根 据 FCC 批准 的 可 供 公 众 使 用 的 频率 ，IEEE 制定 了 相关 的 
标准 。 


14.3.2 无 需 许可 的 频段 


当前 , FCC 批准 了 3 个 无 需 许 可 的 (unlicensed ) 频 段 供 公 众 使 用 一 一 900 MHz、2.4 GHz 和 5 GHz， 
但 据说 不 久 后 将 批准 其 他 一 些 频段 。 频 段 900 MHz 和 2.4 GHz 被 称 为 ISM 频段 ， 而 5 GHz 频段 被 称 
为 无 需 许可 的 国家 信息 基础 设施 (Unlicensed National Information Infrastructure，UNII ) 频段 。 图 14-3 
指出 了 无 需 许 可 的 频段 在 RF 频谱 中 所 处 的 位 置 。 
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声 纳 (频率 极 低 ) X 光 


图 14-3 无 需 许 可 的 频段 


这 很 好 ,但 如 果 想 使 用 除 这 3 个 公共 频段 外 的 其 他 无 线 频 有 段 ,该 怎么 办 呢 ? 需要 获得 FCC 的 授权 ， 
这 种 授权 是 以 牌照 的 方式 提供 的 。FCC 批准 前 述 3 个 频段 供 公众 使 用 后 , 制造 商 便 开始 生产 各 种 产品 ， 
这 些 产品 如 潮水 般 涌 和 人 市 场 。 但 在 当今 的 无 线 网 络 中 ， 使 用 最 广泛 的 是 802.11b/g 产品 。 


14.3.3 802.11 标准 


无 线 标准 系列 以 802.11 打头 ， 但 还 有 其 他 一 些 胃 露头 角 的 标准 ， 如 802.16 和 802.20。 使 用 手机 
或 看 电视 时 , 你 会 意识 到 蜂窝 网 络 在 无 线 领 域 扮演 着 重要 角色 。 但 这 里 将 重点 放 在 802.11 系列 标准 上 。 

IEEE 802.11 是 第 一 个 WLAN 标准 ， 其 传输 速度 为 1 Mbit/s 和 2 Mbits， 使 用 2.4 GHz 频段 。 它 于 
1997 年 获得 批准 ,但 直到 1999 年 802.11b 获得 批准 后 ， 才 出 现 了 大 量 遵守 该 标准 的 产品 。 在 表 14-2 
列 出 的 所 有 标准 中 ， 除 802.11F 和 802.11T 外 ， 其 他 所 有 标准 都 是 对 802.11 标准 的 修订 ， 并 形成 了 独 
立 的 文档 。 该 表 是 不 错 的 参考 资料 ， 最 好 是 将 其 牢记 在 心 。 : 


表 14-2 ”802.11 系 列 标准 


标准 描述 

IEEE 802.11a 54 Mbit/s、5 GHz 标准 

IEEE 802.11b 对 802.11 的 改进 ， 以 支持 5.5 Mbits 和 11 Mbit/s 

IEEE 802.11c 桥接 操作 规程 ， 包 含 在 标准 IEEE 802.1D 中 

IEEE 802.11d 国际 漫游 扩展 

IEEE 802.11e 服务 质量 

IEEE 802.11F 接 人 点 间 协 议 〈Inter-Access Point Protocol ) 

IEEE 802.11g 54 Mbit/s 、2.4 GHz 标准 (向 后 与 802.11b 兼 容 ) 

IEEE 802.11h 动态 频率 选择 (Dynamic Frequency Selection ，DFS ) 和 传输 功率 控制 〈(Transmit 
Power Control，TPC ) ， 频 段 为 5 GHz 

IEEE 802.11i 改善 安全 性 

IEEE 802.11j 日 本 和 美国 公共 安全 扩展 


IEEE 802.11k 无 线 资源 度量 方面 的 改进 


526 第 14 章 思科 无 线 技术 


( 续 ) 
标 准 描 述 
IEEE 802.11m 标准 维护 及 杂项 
IEEE 802.11n 使 用 MIMO ( 多 人 多 出 天 线 ) 提高 吞吐 量 
IEEE 802.11p 车 载 环境 无 线 接 入 (Wireless Access for the Vehicular Environment, WAVE ) 
IEEE 802.11r 快速 漫游 
IEEE 802.11s 全 互联 扩展 服务 集 (ESS ) 
IEEE 802.11T 无 线性 能 预测 ( Wireless Performance Prediction，WpPP ) 
IEEE 802.11u 与 非 802 网 络 〈 如 手机 网 络 ) 互联 
IEEE 802.11v 无 线 网 络 管理 
IEEE 802.11w 受 保护 的 管理 帧 
IEEE 802.11y 在 美国 ， 使 用 频段 36$0 一 3700 MHz 


下 面 讨论 最 常见 的 802.11 WLAN 的 重要 细节 。 
14.3.4 802.11b (2.4 GHz) 


在 家 庭 和 公司 部 署 WLAN 时 ,应 首选 802.11b 标 准 。 它 曾 是 使 用 最 广泛 的 无 线 标准 ,使 用 无 需 许 
可 的 无 线 频段 2.4 GHz， 最 大 数据 传输 速度 为 11 Mbit/s。 

802.11b 标准 被 广 商 和 顾客 广泛 采用 ， 他 们 发 现 ， 其 11 Mbit/s 的 传输 速度 能 很 好 地 支持 大 部 分 应 
用 程序 。 但 802.11b 的 “大 师兄 ”( 802.11g ) 面世 后 ， 再 没 人 购买 802.11b 网 卡 和 接 人 点 了 ， 因 为 在 同 
样 的 价钱 可 买 到 10/100 以 太 网 网 卡 的 情况 下 ， 为 何 要 购买 10 Mbit/s 以 太 网 网 卡 呢 ? 

有 趣 的 是 ， 思 科 的 所 有 802.11 WLAN 产品 在 移动 时 都 能 调整 速度 。 这 让 你 能 够 在 逐渐 远离 接 人 点 
时 ， 可 将 速度 从 11 Mbit/s 依次 调整 为 5.5 Mbit/s、2 Mbit/s 和 1 Mbit/s (在 设备 与 AP 的 距离 达到 可 通信 
的 最 远 距 离 时 )。 另 外 ， 在 调整 速度 时 不 会 中 断 连接 ,- 也 无 需 用 户 干预 。 速 度 调 整 是 针对 每 次 传输 的 ， 
这 很 重要 ， 因 为 这 意味 着 接 人 点 可 支持 多 个 速度 不 同 的 客户 端 ， 其 中 每 个 客户 端的 速度 随 位 置 而 异 。 

802.11b 的 问题 在 于 处 理 数据 链 路 层 的 方式 。 为 解决 RF 频谱 存在 的 问题 , 创建 了 以 太 网 冲突 检测 
机 制 的 另 一 种 形式 ， 和 名 为 载波 侦 听 多 路 访问 /冲突 避免 ( CSMA/CA )， 如 图 14-4 所 示 。 

信 源 信 宿 


图 14-4 802.11b CSMA/CA 
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鉴于 CSMA/CA 要 求 的 主机 与 接 入 点 的 通信 方式 ， 它 也 被 称 为 请 求 发 送 /清除 发 送 ( RTS/CTS )。 
发 送 的 每 个 分 组 都 必须 收 到 一 个 RTS/CTS 和 一 个 确认 ， 这 完全 无 法 满足 当今 的 联网 需求 。 


无 线 电 话 和 微波 炉 可 能 干扰 2.4 GHz 频段 的 无 线 通 信 。 
注意 


在 美国 ，2.4 GHz 频段 中 可 使 用 的 频道 有 11 个 , 但 只 有 3 个 没有 相互 重 肆 ， 它 们 是 频道 1、6 
和 11。 
14-5 显示 了 FCC 批准 的 2.4 GHz 频段 中 的 14 个 频道 (每 个 频道 宽 22 MHz )。 


9 10 11 12 13 14 


2.402 GHz |—— 22 MHz 一 -| 2.483 GHz 


图 14-5 ”ISM 频段 2.4 GHz 包含 的 频道 


鉴于 只 有 3 个 不 相互 重 玖 的 频道 ， 为 避免 于 扰 ， 在 信和 号 覆盖 区 域 最 多 只 能 安装 3 个 接 人 点 。 配 置 
AP 时， 首先 需要 采取 的 一 个 重要 步 又 是 设置 其 频道 。 


14.3.5 802.11g (2.4 GHz) 


标准 802.11g 于 2003 年 获得 批准 , 它 向 后 与 802.11b 兼容 。802.11g 支持 的 最 大 传输 速度 与 802.11a 
相同 ， 也 是 54 Mbit/s， 但 使 用 2.4 GHz 频段 ， 这 与 802.11b 相同 。 

鉴于 802.11b 和 802.11g 都 使 用 无 需 许 可 的 频段 2.4 GHz， 因 此 对 已 经 拥有 802.11b 无 线 基础 设施 
的 组 织 来 说 , 迁移 到 802.11g 是 个 不 错 的 选择 。 但 需要 牢记 的 是 ，802.11b 产品 并 不 能 通过 “软件 升级 ” 
迁移 到 802.11g， 这 是 因为 为 了 提供 更 高 的 传输 速度 ，802.11g 产品 使 用 了 不 同 的 芯片 。 

然而 , 犹如 以 太 网 和 快速 以 太 网 , 在 同一 个 网 络 中 也 可 混合 使 用 802.11g 产品 和 802.11b 产品 。 但 
与 以 太 网 不 同 的 是 ， 如 果 有 4 位 用 户 使 用 的 是 802.11g， 而 有 1 位 用 户 使 用 的 是 802.11b， 则 连接 到 同 
一 个 接 人 点 的 所 有 用 户 都 将 被 迫使 用 CSMA/CA 方法 ,这 太 粳 粒 了 ， 吞 吐 量 将 因此 而 降低 。 为 优化 性 
能 ， 推 荐 在 所 有 接 人 点 上 都 禁用 802.11b 模式 。 

下 面 进一步 解释 这 一 点 。802.11b 使 用 的 调制 方法 为 直接 序列 扩 频 ( Direct Sequence Spread 
Spectrum，DSSS )， 这 种 调制 方法 没有 802.11g 和 802.11a 使 用 的 调制 方法 一 一 正 交 频 分 多 路 复 用 
( Orthogonal Frequency Division Multiplexing，OFDM ) 那么 健壮 。 在 传输 距离 相同 的 情况 下 ， 使 用 
OFDM 的 802.11g 客户 端的 性 能 要 比 802.11b 客户 端 好 得 多 ,但 别 忘 了 , 当 802.11g 客户 端 以 802.11b 
的 传输 速度 (11 Mbits、5.5 Mbit/s、2 Mbit/s 和 1 Mbit/s ) 运行 时 ， 它 们 实际 上 使 用 802.11b 使 用 的 
调制 方法 。 
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(DR 
不 允许 使 用 802.11b 


现在 ,你 应 该 明白 了 ,不 应 在 无 线 网 络 中 使 用 IEEE 802.1b 客户 端 和 AP; 鉴于 大 多 数 笔记 本 
电脑 和 无 线 设备 都 运行 802.11 a/b/g， 应 该 可 以 在 AP 上 禁用 802.11b 功能 。 

几 年 前 ,笔者 给 客户 安装 无 线 网 络 时 ,在 所 有 接 入 点 上 禁用 了 所 有 的 802.11b 功能 。 第 二 天 ， 
销售 部 的 一 名 女 亡 员 找 到 我 ,说 她 的 无 线 笔记 本 电脑 无 法 上 网 了 。 她 的 笔记 本 电脑 较 旧 ， 装备 的 
是 外 置 PCMIA 无 线 网 卡 ， 我 马上 就 确定 了 问题 所 在 。 我 将 网 卡 取 出 ， 告 诉 她 这 个 网 卡 太 旧 ， 出 
毛病 了 ， 必 须 买 新 的 ( 这 个 网 卡 实际 上 没 毛 病 ， 但 对 我 安装 的 无 线 网 络 来 说 有 毛病 )。 第 二 天 ， 
她 再 次 找到 我 手 里 拿 着 一 个 新 的 无 线 网 卡 。 由 于 当时 买 不 到 802.11b 网 卡 (除非 从 eBay 购买 二 
手 货 )， 因 而 我 并 不 担心 这 个 网 卡 只 支持 802.11b。 然 而 ,仔细 端详 后 ， 我 发 现 它 确 实 是 一 个 全 新 
的 802.11b 网 卡 ， 这 让 我 目瞪口呆 ! 这 个 全 新 的 802.11b 网 卡 是 从 哪里 买 的 呢 ? 她 说 ，CompUSA 
要 关 张 歌 业 了 ， 因 此 清仓 大 甩卖 ， 她 只 花 了 4 美元 就 买 到 了 它 ! 


14.3.6 802.11a (5 GHz) 


IEEE 于 1999 年 就 批准 了 802.11a 标准 ， 但 第 一 款 802.11a 产品 直到 2001 年 年 末 才 面市 。 这 些 灸 
手 可 热 的 新 产品 确实 物 有 所 值 ! 802.11a 标准 支持 的 最 大 传输 速度 为 54 Mbit/s， 并 提供 多 达 28 个 互 不 
重合 的 频道 一 一 在 美国 ， 可 使 用 其 中 的 23 个 。 

802.11a 的 另 一 个 优点 是 ， 它 使 用 5 GHz 频段 ， 不 受 使 用 2.4 GHz 频段 的 设备 ( 如 微波 炉 、 无 线 
电话 和 蓝牙 设备 ) 的 干扰 。 你 可 能 猜 到 了 ， 由 于 使 用 的 频段 不 同 ，802.11a 不 向 后 与 802.11b 兼容 ， 
因此 不 能 指望 升级 网 络 的 部 分 设备 就 能 让 它们 和 谐 相处 。 但 不 用 担心 ， 有 大 量 双 频 段 设 备 ， 适 用 于 
这 两 种 网 络 。802.11a 的 另 一 个 优点 是 ， 可 与 802.11b 用 户 共存 于 相同 的 物理 环境 ， 而 无 需 采 取 措 施 
来 避免 干扰 。 

与 802.11b 设备 一 样 ， 所 有 802.11a 产品 也 都 能 够 在 移动 时 调整 速度 。 差 别 在 于 ，802.11a 产品 可 
在 移动 时 从 54 Mbit/s 依次 调整 为 48 Mbit/s、24 Mbit/s、18 Mbits、12 Mbits、9 Mbit/s 和 6 Mbit/s (在 
设备 与 AP 的 距离 达到 可 通信 的 最 远 距 离 时 )。 


14.3.7 ”802.11n (2.4 GHz/5 GHz) 


802.11n 建立 在 以 前 的 802.11 标准 的 基础 之 上 ,添加 了 多 入 多 出 (MIMO ) 功能 。 它 使 用 多 根 收 
发 天 线 , 提高 了 数据 吞吐 量 和 传输 距离 。802.11n 最 多 支持 8 根 天 线 , 但 当今 的 大 多 数 AP 都 只 使 用 4~ 
6 根 。 这 种 配置 使 其 传输 速度 比 802.11 a/b/g 高 得 多 。 

为 改善 性 能 ，802.11n 做 了 如 下 3 项 重大 改进 : 

口 在 物理 层 ， 改 变 了 信和 号 的 发 送 方式 ， 让 反射 和 干扰 成 了 优点 ， 而 不 是 性 能 降低 的 罪魁 祸首 ; 

口 将 两 个 宽度 为 20 MHz 的 信道 合 二 为 一 ， 以 提高 吞吐 量 ; 

口 在 MAC 层 ,采用 了 不 同 的 分 组 传输 管理 方式 。 

需要 知道 的 是 ，802.11n 并 非 完 全 与 802.11b、802.11g 和 802.11a 兼 容 ， 但 被 设计 成 向 后 与 它们 兼 


14.4 无 线 拓扑 529 


容 。 这 是 通过 修改 帧 的 发 送 方式 ， 使 其 能 够 被 802.11 ayb/g 理解 来 实现 的 。 
人 们 认为 802.11n 更 可 靠 和 可 预测 ， 其 主要 原因 如 下 所 示 。 
口 40 MHz 频道 ”802.11g 和 802.11a 使 用 20 MHz 频道 ， 并 在 频道 两 端 利 用 未 用 的 音调 (tone ) 
来 保护 主 载 波 。 这 意味 着 有 11 Mbit/s 的 带宽 未 用 ， 这 基本 上 被 浪费 掉 了 。802.11ln 合并 两 个 载 
波 ， 让 传输 速度 翻 倍 ， 从 54 Mbits 提高 到 108 Mbit/s; 再 加 上 原本 被 浪费 的 11 Mbits， 总 传 
输 速度 达 119 Mbit/s! 
口 MAC 效率 ”802.11 协议 要 求 对 每 个 帧 进行 确认 ， 而 802.11n 可 在 传输 很 多 分 组 后 才 确 认 一 次 ， 
从 而 节省 了 大 量 开 销 。 这 被 称 为 块 确认 (block acknowledgment )。 
日 多 入 多 出 (MIMO) 多 根 天 线 通 过 多 条 路 径 发 送 多 个 帧 ， 并 在 接收 端 由 另 一 组 天 线 进行 重组 
从 而 提高 了 吞吐 量 。 这 被 称 为 空间 多 路 复 用 ( spatial multiplexing )。 
介绍 标准 802.11 a/b/g/n 后 ， 该 详细 介绍 无 线 帧 的 实际 发 送 过 程 、 帧 结构 ( shape ) 和 速度 以 及 用 
于 发 现 并 连接 到 无 线 网 络 的 管理 帧 了 。 


ri 


注意 (Sybex，2010 )。 


14.3.8 802.11 系列 标准 之 比较 


图 14-6 列 出 了 当前 还 在 使 用 的 每 个 IEEE 802.11 标准 的 批准 年 份 ， 还 有 它们 使 用 的 频段 、 不 重 耸 
频道 数 、 物 理 层 传输 方法 以 及 传输 速度 。 


802.11b 802.11a 802.11n 


802.11g 
2010 
2.4 GHz、 5 GHz 


随 使 用 的 频段 而 异 


DSSS CCK OFDM 


5 GHz 
最 多 23 个 


IR、FHSS、 
DSSS 


OFDM 


6 SS 
24、36、48、54 


6、9、12、18、 | 超过 100 
24、36、48、54 


图 14-6 各 个 标准 使 用 的 频段 和 传输 速度 
对 a/b/g/n 网 络 有 一 定 认识 后 ， 该 介绍 典型 的 无 线 拓扑 了 。 


14.4 无线 拓扑 


介绍 了 当今 简单 无 线 网 络 使 用 的 典型 设备 的 基本 知识 后 , 下面 探讨 你 遇 到 的 或 设计 与 实现 的 各 种 
无 线 网 络 类 型 。 

这 人 包括; 

OD IBSS; 
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口 BSS; 
OQ ESS。 
下 面 详细 介绍 这 些 网 络 。 


14.4.1 独立 基本 服务 集 (ad hoc) 


要 安装 无 线 802.11 设备 ,最 简单 的 方式 是 使 用 ad hoc 网 络 。 在 这 种 模式 下 ,无线 NIC (或 其 他 设 
备 ) 可 直接 通信 ， 而 不 需要 AP。 一 个 典型 的 例子 是 两 台 带 无 线 NIC 的 笔记 本 电脑 ， 如 果 两 个 网 卡 都 
设置 为 以 ad hoc 模式 运行 ， 它 们 就 能 相互 连接 并 传输 文件 ， 只 要 其 他 网 络 设置 (如 他 协议 ) 被 配置 
成 支持 这 样 做 。 

要 创建 独立 基本 服务 集 (IBSS )， 只 需 两 台 或 两 台 以 上 带 无 线 功 能 的 设备 。 让 它们 相隔 20 一 40 
米 后 ， 它 们 就 能 “看 到 ”对 方 并 连接 起 来 一 一 前 提 是 它们 的 一 些 基 本 配置 参数 相同 。 其 中 一 台 计 算 机 
可 将 其 因特网 连接 与 其 他 计算 机 共享 。 图 14-7 是 一 个 ad hoc 无 线 网 络 ， 注 意 到 其 中 没有 接 人 点 ! 


图 14-7 采用 ad hoc 模式 的 无 线 网 络 


ad hoc 网 络 也 被 称 为 对 等 网 络 ， 其 可 扩展 性 不 佳 ， 鉴 于 当今 公司 网 络 的 冲突 和 组 织 问题 ， 不 建议 
采用 这 种 模式 。 考 虑 到 AP 价格 低廉 ， 除 非 是 在 家 里 ， 否 则 不 再 需要 这 种 网 络 了 ， 但 即使 是 在 家 里 ， 
也 可 能 不 再 需要 了 。 

另外 ，ad hoc 网 络 很 不 安全 ， 连 接 到 无 线 网 络 前 ， 务 必 关 闭 主机 的 AdHoc 设置 。 


14.4.2 ”基本 服务 集 (BSS) 
基本 服务 集 ( BSS ) 是 由 AP 提供 的 无 线 信号 决定 的 区 域 (蜂窝 )， 也 被 称 为 基本 服务 区 ( BSA )， 
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因此 术语 BSS 和 BSA 的 含义 相同 , 但 BSS 最 常用 于 定义 蜂窝 。 图 14-8 显示 了 一 个 为 主机 提供 BSS 
的 AP 以 及 该 AP 覆盖 的 基本 服务 区 ( 蜂 帘 )。 


*DS = 分 发 系统 
14-8 ”基本 服务 集 /基本 服务 区 


AP 负责 管理 无 线 帧 ， 让 主机 能 够 彼此 通信 。 不 同 于 ad hoc 网 络 ， 这 种 网 络 的 可 扩展 性 更 高 ， 可 
包含 的 主机 数 更 多 ， 因 为 所 有 网 络 连 接 都 由 AP 管理 。 


14.4.3 ”基础 设施 基本 服务 集 


在 基础 设施 (infrastructure ) 模式 下 ， 无 线 NIC 只 能 与 接 人 点 通信 ， 而 不 像 在 ad hoc 模式 下 那样 
可 直接 彼此 通信 。 无 线 主 机 要 彼此 通信 以 及 与 网 络 的 有 线 部 分 通信 ， 都 必须 经 由 接 人 点 。 需 要 牢记 的 
一 个 重点 是 ， 在 这 种 模式 下 ， 在 网 络 的 其 他 部 分 看 来 ， 无 线 客户 端 就 像 是 独立 的 有 线 主机 。 

图 14-8 是 一 个 采用 基础 设施 模式 的 典型 无 线 网 络 ， 请 特别 注意 接 人 点 ， 它 也 连接 到 了 有 线 网 络 。 
这 种 从 接 人 点 到 有 线 网 络 的 连接 被 称 为 DS ( Distrubtion System, 分 发 系统 )，AP 通过 它 彼此 交换 有 关 
其 BSA 中 主机 的 信息 。AP 不 通过 无 线 网 络 彼此 通信 ， 而 只 通过 DS 彼此 通信 。 

配置 客户 端 ， 使 其 以 无 线 基 础 设施 模式 运行 时 ， 需 要 明白 SSID。 服 务 集 标 识 符 ( SSID ) 是 一 个 
独一无二 的 32 字符 标识 符 ， 表 示 特 定 的 无 线 网 络 ， 并 定义 BSS。 随 便 说 一 句 ， 很 多 人 都 交换 使 用 术 
语 SSID 和 BSS, 不 要 把 两 者 摘 混 。 特 定 无 线 网 络 中 的 所 有 设备 可 能 配置 相同 的 SSID ， 而 接 人 点 有 时 
可 能 配置 多 个 SSID。 下 面 更 详细 地 介绍 SSID。 
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14.4.4 ”服务 集 ID 


SSID 定义 了 AP 覆盖 的 BSA，Linksys 就 使 用 这 个 术语 。 你 可 能 在 搜寻 无 线 网 络 时 在 主机 屏幕 上 见 
到 过 SSID, 它 是 由 AP 发 送 的 ,指出 了 客户 端 可 连接 到 哪个 WLAN。SSID 最 多 可 包含 32 个 字符 ,通常 
是 人 类 可 阅读 的 ASCI 字符， 但 并 非 必须 如 此 。SSID 由 32 B 组 成 ， 其 中 每 个 字 节 都 可 以 为 任何 值 。 

SSID 是 在 AP 上 配置 的 ， 可 广播 出 去 ， 也 可 隐藏 起 来 。 如 果 SSID 被 广播 出 去 ， 则 当 无 线 工作 站 
使 用 其 客户 端 软件 搜寻 无 线 网 络 时 , 将 以 SSID 列表 的 方式 呈现 搜寻 到 的 网 络 。 如 果 SSID 被 隐藏 ， 则 
它 要 么 不 会 出 现在 列表 中 ， 要 么 就 显示 为 “未 知 网 络 "” ， 具 体 情况 取决 于 客户 端 操作 系统 。 


NNR A EO A OO ANN REA OUR 


pwr 总 是 应 该 修改 AP 的 默认 5 SSID， ， 并 修改 管理 页 密码 。 


如 果 SSID 被 隐藏 ， 要 让 客户 端 能 够 连接 到 网 络 ， 必 须 配 置 无 线 配置 文件 ， 其 中 包括 SSID。 这 比 
其 他 任何 常规 身份 验证 措施 和 安全 措施 都 重要 。 


14.4.5 ”扩展 服务 集 


如 果 在 所 有 接 人 点 上 设置 了 相同 的 SSID ， 移 动 无 线 客 户 端 将 能 够 在 网 络 中 漫游 。 这 是 当今 公司 
环境 最 常用 的 无 线 网 络 设计 。 

这 样 做 将 创建 扩展 服务 集 (ESS ), 其 覆盖 范围 比 单个 接 人 点 更 大 , 并 让 用 户 能 够 在 AP 之 间 漫 游 ， 
且 不 会 中 断 网 络 连接 。 这 种 设计 让 客户 端 可 在 AP 之 间 无 颖 地 漫游 。 在 图 14-9 中 ， 给 位 于 同一 间 办 公 
室 的 两 个 AP 配置 了 相同 的 SSID ， 从 而 创建 了 ESS 网 络 。 


无 线 蜂 褒 2 


图 14-9 扩展 服务 集 ( ESS ) 


为 让 用 户 能 够 在 无 线 网 络 中 漫游 一 一 从 一 个 AP 漫游 到 另 一 个 AP， 且 不 会 中 断 网 络 连 接 ， 相 邻 
AP 的 蜂窝 必须 至 少 重 普 10% ~20%。 为 此 ， 必 须 让 每 个 AP 使 用 不 同 的 频道 (频率 )。 
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14.4.6 在 WLAN 中 支持 IP 语音 (VolP) 


VoIP 在 当今 世界 中 不 可 或 缺 ， 其 应 用 范围 在 不 断 扩 大 ， 因 此 了 解 VoIP 对 有 线 和 无 线 网 络 的 影响 
至 关 重 要 。 

有 关 其 配置 和 详情 不 在 CCENT 和 CCNA 考试 范围 内 ， 因 此 这 里 只 讨论 需要 牢记 的 需求 。 

必须 明白 VoIP 电话 对 网 络 的 要 求 ， 

口 VoIP 数据 流 有 特殊 要 求 ， 如 带宽 、 优 先 级 和 延迟 ; 

口 为 避免 冲突 ， 应 为 下 电话 数据 流 和 数据 分 别 配置 VLAN, 语音 VLAN 在 第 11 章 讨 论 过 ; 

口 思科 卫 电话 通常 采用 PoE ， 因 此 必须 在 网 络 中 使 用 合适 的 交换 机 ; 

口 设计 WLAN 时 ， 必 须 考虑 VoIP 设备 及 其 带宽 需求 ; 

口 要 支持 VoIP， 必 须 在 WLAN VLAN 中 实现 QoS。 

LAN 和 WLAN 包含 很 多 设备 ， 但 不 要 忘记 VoIP 设备 。 设 计 WLAN 时 ， 网 络 管理 员 必须 考虑 
VoIP 的 独特 要 求 ， 如 带宽 、 优 先 级 、 延 迟 、 为 VoIP 配置 独立 的 VLAN 并 实现 QoS 以 及 供电 方面 的 
要 求 。 


14.5 无线 安 全 


默认 情况 下 ， 接 人 点 和 客户 端 没 有 配置 无 线 安 全 。 制 定 802.11 的 委员 会 根本 没有 想到 , 无线 主 机 
的 数量 有 一 天 会 超过 有 线 主机 ， 而 我 们 正在 向 这 一 天 迈进 。 另 外 . 遗憾 的 是 , 与 IPv4 一 样 ,工程师 和 
科学 家 没有 制定 适用 于 公司 环境 的 足够 健壮 的 安全 标准 。 因 此 ， 为 创建 安全 的 无 线 网 络 ， 只 能 求助 于 
专用 的 解决 方案 。 我 并 非 要 指责 标准 委员 会 ， 只 是 我 们 遇 到 的 安全 问题 也 是 由 美国 的 安全 标准 出 口 问 
题 导致 的 。 这 个 世界 很 复杂 ， 安 全 解决 方案 亦 如 此 。 

讨论 安全 问题 的 一 个 不 错 的 起 点 是 , 讨论 802.11 标准 的 基本 安全 功能 ,以 及 为 何 这 些 标准 如 此 脆 
` 弱 ， 如 此 不 完备 ， 无 法 帮助 我 们 创建 安全 的 无 线 网 络 ， 以 应 对 当前 的 挑战 。 

1. 不 限制 接 入 

所 有 Wi-Fi 认证 的 无 线 LAN 产品 都 支持 “不 限制 接 人 ”模式 ,在 这 种 模式 下 ,所 有 安全 功能 都 关 
闭 了 。 虽 然 对 于 热点 公共 场所 《如 嘿 啡 和 馆 、 大 学 校园 和 机 场 ) 来 说 ,“ 不 限制 接 人 ”( 无 安全 措施 ) 是 
合适 和 受 欢 迎 的 ， 但 根本 不 适合 企业 组 织 ， 甚 至 不 适合 私有 家 庭 网 络 。 

在 企业 环境 中 安装 无 线 设备 时 ， 必 须 启 用 安全 功能 。 然 而 ,让 人 震惊 的 是 有 些 公司 实 际 上 没有 启 
用 任何 WLAN 安全 功能 。 显 然 ， 这 些 公司 的 网 络 面临 巨大 的 安全 风险 。 

这 些 产品 之 所 以 支持 “不 限制 接 人 ”模式 ， 旨 在 让 任何 人 (甚至 没有 任何 IT 知识 的 人 ) 只 需 购 
买 接 入 点 并 插入 有 线 电视 或 DSL 调制 解 调 器 ， 就 能 无 线 上 网 。 这 是 一 种 市 场 营 销 策略 , 旨 在 简化 设备 
安装 。 但 这 并 不 意味 着 应 保留 默认 设置 ， 除 非 网 络 对 公众 开放 ， 否 则 绝对 不 应 这 样 做 。 

2. SSID、WEP 和 MAC 地 址 验证 

最 初 设计 802.11 的 人 确实 提供 了 基本 安全 ， 这 包括 使 用 服务 集 标识 符 (SSID )、 开 放 或 共享 密 钥 
验证 、 静 态 有 线 等 效 保密 ( Wired Equivalency Privacy，WEP ) 以 及 可 选 的 介质 访问 控制 (MAC ) 地 
址 验证 。 听 起 来 安全 措施 好 像 很 多 ,但 都 不 能 提供 真正 严格 的 安全 解决 方案 ,而 都 只 适用 于 普通 的 家 
庭 网 络 。 下 面 将 依次 介绍 它们 。 

SSID 是 创建 无 线 LAN 的 WLAN 系统 中 所 有 设备 都 必须 知道 的 网 络 名 称 ， 如 果 不 知道 SSID， 
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客户 端 就 不 能 访问 网 络 。 问 题 是 ， 默 认 情况 下 ， 接 和 人 点 将 通过 信 标 (beacon ) 每 秒 广播 其 SSID 很 
多 次 。 即 使 关闭 SSID 广播 ， 坏 人 也 可 通过 监控 网 络 并 等 待 客户 端 对 接 和 人 点 的 响应 来 获悉 SSID 。 
为 什么 呢 ? 因为 根据 802.11 规范 ， 这 种 信息 必须 以 明文 的 方式 发 送 ( 信 不 信和 由 你 )， 这 有 何 安全 可 
言 呢 ? 

IEEE 802.11 指定 了 两 种 身份 验证 方式 : 开放 验证 和 共享 密 钥 验证 。 开 放 验 证 只 要 求 提供 正确 的 
SSID, 却 是 当前 最 常用 的 验证 方法 。 使 用 共享 密 钥 验 证 时 ， 接 人 点 给 客户 端 设 备 发 送 一 个 挑战 文本 分 
组 ， 而 客户 端 必须 使 用 正确 的 有 线 等 效 保密 ( WEP ) 密 钥 对 其 进行 加 密 ， 并 将 结果 返回 给 接 人 点 。 如 
果 没 有 正确 的 密 钥 ,客户 端 就 无 法 通过 身份 验证 ， 进 而 被 禁止 关联 到 接 人 点 。 但 共享 密 钥 验 证 也 不 安 
全 ， 因 为 人 侵 者 只 需 检 测 到 明文 挑战 分 组 和 使 用 WEP 密 钥 加 密 后 的 挑战 分 组 ， 就 可 破解 WEP 密 钥 。 
在 当今 的 WLAN 中 ,不 再 使 用 共享 密 铀 ， 因 为 明文 挑战 无 法 抵御 已 知 明 文 加 密 攻击 。 

采用 开放 验证 时 ， 即 使 客户 端 通过 身份 验证 并 关联 到 了 接 人 点 ， 如 果 没 有 正确 的 WEP 密 钥 ， 也 
无 法 向 接 入 点 发 送 数据 或 接收 来 自 接 入 点 的 数据 。WEP 密 钥 长 40 位 或 128 位 ， 通 常 是 由 网 络 管理 员 
在 接 入 点 以 及 与 接 入 点 通信 的 所 有 客户 端 上 静态 配置 的 。 使 用 静态 WEP 密 钥 时 ， 网 络 管理 员 必 须 在 
WLAN 的 每 台 设备 中 输入 相同 的 密 钥 ， 这 将 耗费 大 量 的 时 间 。 显 然 ， 在 当今 的 大 型 公司 无 线 网 络 中 ， 
这 几乎 是 不 可 能 完成 的 任务 ， 必 须 有 相应 的 解决 方案 。 

最 后 ， 可 在 每 个 接 人 点 静态 地 输入 客户 端的 MAC 地 址 ， 禁 止 MAC 地 址 不 包含 在 该 过 滤 表 中 的 
客户 端 访 问 网 络 。 这 听 起 来 不 错 ， 但 所 有 MAC 层 信息 都 必须 以 明文 方式 发 送 ， 只 要 有 免费 的 无 线 嗅 
探 器 ， 就 可 读 取 客户 端 发 送 给 接 人 点 的 分 组 ， 并 伪造 MAC 地 址 。 

如 果 进 行 了 正确 的 管理 , WEP 在 对 安全 没有 要 求 的 地 区 实际 上 是 管用 的 。 但 如 果 不 采用 专用 的 解 
决 方案 ， 当 今 的 公司 网 络 中 不 会 配置 静态 WEP 密 钥 。 

3. 加 密 方法 

当今 大 部 分 无 线 网 络 使 用 的 两 种 基本 的 加 密 方 法 一 一 TKIP 和 AES。 下 面 首先 介绍 TKIP。 

@ 临时 密 钥 完整 性 协议 (TKIP ) 

搭 起 栅栏 后 , 坏人 迟早 会 找到 翻 过 、 绕 过 或 穿越 它 的 方法 。 一 如 既往 , 坏人 确实 找到 了 破解 WEP 
的 方法 , 这 让 Wi-Fi 网 络 易 受 攻击 一 一 其 数据 链 路 层 不 青 安全 。 必须 有 人 来 救援 , 这 次 是 IEEE 802.11i 
任务 小 组 和 Wi-Fi 联盟 ,它们 一 起 承担 了 这 项 职责 。 它 们 提出 的 解决 方案 名 为 临时 密 钥 完整 性 协议 
( TKIP )， 这 种 解决 方案 基于 RC4 加 密 算法 。TKIP 因 其 给 验证 过 程 提供 的 保护 获得 了 WLAN 界 的 重 
视 ， 但 验证 结束 后 ， 它 也 被 用 来 对 随后 传输 的 数据 流 进行 加 密 。Wi-Fi 联盟 于 2002 年 年 底 发 布 了 它 ， 
并 称 之 为 Wi-Fi 安全 访问 (Wi-FiProtected Access，WPA )。TKIP 还 可 节省 大 量 资金 ， 因 为 不 需要 升级 
老 旧 的 硬件 设备 就 能 使 用 它 。2004 年 夏天 , IEEE 批准 了 最 终 的 TKIP 版 本 , 它 添加 了 更 多 的 安全 措施 ， 
如 802.1X 和 AES-CCMP( AES-Counter Mode CBC-MAC Protocol, AES 计数 器 模式 及 密码 区 块 链 信息 、 
认证 码 协议 )。IEEE 802.11i-2004 发 布 后 ，Wi-Fi 联盟 作出 了 积极 响应 ， 全 面 支持 这 个 完整 的 规范 ， 并 
出 于 市 场 营销 目的 称 之 为 WPA2。 

之 所 以 不 需要 新 硬件 就 能 运行 TKIP, 一 个 重要 的 原因 是 它 只 是 对 原 有 的 WEP RC4 加 密 算法 进行 
了 改进 。WEP RC4 使 用 的 密 钥 太 短 ，TKIP 对 其 进行 了 改进 ,采用 128 位 加 密 ， 更 难 破解 。TKIP 天 然 
兼容 的 另 一 个 原因 是 ， 其 用 于 支持 和 定义 WEP 的 加 密 机 制 和 RC4 算法 与 以 前 相同 。 

® AES 

WPA2 和 标准 802.11i 都 要 求 使 用 128 位 高 级 加 密 标 准 ( AES ) 对 数据 进行 加 密 。AES 被 公认 为 当 
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今 最 好 的 加 密 算法 ， 并 获得 了 美国 国家 标准 和 技术 协会 (NIST ) 的 批准 。 它 也 被 称 为 AES-CCMP 
( AES-Counter Mode with CBC-MAC authentication， 使 用 CBC-MAC 身份 验证 的 AES 计数 器 模式 )。 

AES 唯一 的 缺点 是 ， 鉴 于 其 计算 需求 ,需要 有 加 密 处 理 器 才能 运行 它 。 但 相 比 于 RC4， 其 效率 要 
高 得 多 ， 且 安全 性 要 好 得 多 。 

4. Wi-Fi 安全 访问 (WPA) 

那么 ， 如 何 轻松 而 有 效 地 同时 实现 身份 验证 和 加 密 呢 ? 在 WPA 面世 前 ， 这 很 难 。 首 先 ， 来 说 一 
下 个 人 模式 和 企业 模式 之 间 的 差别 。 术 语 个 人 模式 和 企业 模式 并 非 来 自 某 个 标准 ， 而 更 像 市 场 车 销 
术语 。 个 人 模式 和 企业 模式 之 间 的 差别 在 于 使 用 的 身份 验证 方法 : 个 人 模式 使 用 预 共享 密 钥 进行 身份 
验证 ,而 企业 模式 使 用 身份 验证 方法 802.1x 和 EAP。 很 多 人 将 这 两 个 术语 分 别 对 应 于 小 企业 和 大 企业 ， 
但 这 只 与 实现 需求 相关 。 

Wi-Fi 安 全 访问 (WPA ) 是 Wi-Fi 联 盟 于 2003 年 制定 的 一 种 标准 测试 规范 ， 该 组 织 以 前 名 为 无 线 
以 太 网 兼容 性 联盟 ( WECA )。WPA 是 一 种 WLAN 身份 验证 和 加 密 标准 ， 旨 在 解决 2003 年 及 之 前 发 
现 的 安全 问题 ， 这 包括 广为人知 的 AirSnort 和 中 间 人 攻击 。 

WPA 是 迈 向 IEEE 802.11i 标准 的 重要 一 步 , 它 使 用 的 众多 组 件 都 与 IEEE 802.11i 标 准 相同 ， 只 有 
加 密 例外 一 一 802.11i 使 用 AES 加 密 。WPA 的 机 制 可 由 面向 WEP 的 硬件 实现 ， 这 意味 着 用 户 只 需 升 
级 固件 /软件 ， 就 可 在 其 系统 上 实现 WPA。WPA 使 用 了 更 强大 的 加 密 算法 (但 仍 使 用 RC4， 还 是 不 够 
强大 ) 和 每 帧 序列 计数 器 ， 从 而 解决 了 WEP 固有 的 缺陷 。 

@ WPA 和 WPA2 预 共享 密 钥 模式 

WPA 和 WPA2 预 共 享 密 钥 ( PSK ) 模式 并 非 独 立 的 基本 安全 方法 ,而 只 是 对 相应 规范 的 补充 , 但 
比 前 面 提 到 的 任何 基本 无 线 安 全 方法 都 要 好 。 请 注意 ， 我 说 的 是 任何 “基本 ”安全 方法 。 

PSK 在 客户 端 设 备 和 接 人 点 通过 密码 或 验证 码 ( 也 叫 通 行 码 ) 来 验证 用 户 。 仅 当 客 户 端的 密码 与 
接 人 点 的 密码 匹配 时 ， 客 户 端 才能 访问 网 络 。PSK 还 提供 了 密 钥 生 成 材料 ( keying material ), 供 TKIP 
(WPA ) 或 CCMP (AES ) 用 来 为 传输 的 每 个 分 组 生成 加 密 密 钥 。 虽 然 比 静态 WEP 安全 , 但 PSK 还 
是 有 很 多 与 静态 WEP 相同 的 地 方 。 例 如 ，PSK 存储 在 客户 端 工作 站 ， 如 果 客 户 端 工作 站 丢失 或 被 盗 ， 
将 危及 PSK 的 安全 ， 虽 然 找到 这 个 密 钥 并 不 那么 容易 。 强 烈 建议 使 用 强 PSK 密码 一 混合 使 用 字母 、 
数字 和 其 他 字符 。 

@ WPA 和 WPA2 企业 模式 

WPA 和 WPA2 支持 一 种 企业 身份 验证 方法 一 一 可 扩展 的 身份 验证 协议 (EAP )。 需 要 指出 的 是 ， 
EAP 并 非 单个 方法 , 而 是 一 种 框架 , 对 原 有 的 802.1x 框架 作 了 改进 。 该 框架 描述 了 一 组 要 采取 的 措施 ， 
而 不 同 EAP 的 差别 在 于 其 在 该 框架 内 的 运行 方式 ， 这 包括 使 用 密码 还 是 证 书 以 及 提供 的 安全 等 级 。 

大 多 数 EAP 都 包含 3 个 组 件 : 

口 身份 验证 者 ; 


口 申请 者 ; 
口 身份 验证 服务 器 。 


鉴于 身份 验证 服务 器 通常 为 RADIUS 服务 器 , 下 面 简要 地 介绍 一 下 RADIUS。 远程 验证 拨号 用 户 
服务 (RADIUS ) 是 一 种 联网 协议 ， 提 供 了 一 些 很 好 的 安全 功能 : 

口 授权 ; 

口 集中 访问 控制 ; 
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口 对 连接 并 访问 网 络 服务 的 用 户 和 计算 机 进行 记 账 监督 。 对 于 通过 RADIUS 身份 验证 的 用 户 或 
工作 站 ， 可 指定 其 拥有 的 权限 ; | 

口 控制 设备 或 用 户 可 在 网 络 中 做 什么 ; 

口 将 所 有 访问 企图 和 操作 都 记录 下 来 。 

身份 验证 、 授 权 和 记 账 被 称 为 AAA， 也 称 为 三 联 A。 

在 当今 的 网 络 中 ， 可 使 用 如 下 EAP。 

口 Local EAP〈 本 地 EAP) EAP 通常 将 RADIUS 服务 器 用 作 身 份 验 证 服务 器 ， 但 可 对 AP 进行 
配置 ， 使 其 同时 充当 身份 验证 者 和 身份 验证 服务 器 ， 这 被 称 为 本 地 EAP。 用 于 对 用 户 进行 身 
份 验证 的 数据 库 可 存储 在 AP 处 ， 也 可 存储 在 诸如 活动 目录 等 LDAP 服务 器 处 。 

口 LEAP 〈 轻 量 级 EAP) ”LEAP 是 思科 于 2000 年 开发 的 一 种 方法 ， 经 思科 许可 ， 该 方法 被 众 
多 非 思科 设备 采用 ， 它 只 使 用 用 户 名 和 密码 。 

口 PEAP EAP-TLS 要 求 服务 器 和 工作 站 都 有 证 书 ，EAP-FAST 不 要 求 任何 一 方 有 证 书 ， 而 
PEAP( 受 保护 的 EAP ) 只 要 求 服务 器 有 证 书 。 这 种 方法 是 由 微软 、 思 科 和 RSA 信息 安全 公 
司 联合 开发 的 ， 这 是 这 几 家 公司 为 数 不 多 的 合作 之 一 。 

口 EAP-TLS EAP-TLS (EAP 传输 层 安全 ) 是 最 安全 的 方法 ， 但 也 是 最 难 配置 和 维护 的 。 要 使 
用 EAP-TLS， 必 须 在 身份 验证 服务 器 和 客户 端 都 安装 证 书 。 

口 EAP-FAST EAP-FAST 指 的 是 通过 安全 隧道 进行 灵活 身份 验证 的 EAP ( EAP-Flexible 
Authentication via Secure Tunneling )， 它 提供 的 安全 等 级 与 EAP-TLS 相同 ， 但 无 需 管理 证 书 。 


A 


Wi-Fi 联 盟 认 可 了 IEEE 802.11 标准 ， 并 将 其 称 为 WPA2。 


5. 802.11i 

虽然 制定 WPA2 规范 时 考虑 了 即将 面世 的 802.11i 标 准 ， 但 802.11i 标 准 新 增 了 一 些 功能 : 
口 指定 了 可 使 用 的 EAP 方 法 ; 

口 使 用 加 密 方法 AES/CCMP 而 不 是 RC4; 

口 改善 了 密 钥 管 理 。 主 密 钥 可 以 被 缓存 ， 让 工作 站 重新 连接 到 网 络 的 速度 更 快 。 

前 面 介绍 了 WPA、WPA2 和 802.11i, 但 它们 之 间 有 何不 同 呢 ? 表 14-3 对 它们 作 了 比较 。 


表 14-3 WPA、WPA2 和 802.11/ 小 结 


WPA WPA2 | 802.11i 
SOHO 企业 企业 

802.1x 身 份 验证 /PSK 802.1x 身 份 验证 /PSK 802.1x 身 份 验证 
128 位 RC4 w/TKIP 加 和 密 128 位 AES 加 密 128 位 AES 加 密 
不 支持 ad hoc 模 式 ”不 支持 ad hoc 模 式 支持 ad hoc 模 式 


最 后 ， 对 这 些 实现 使 用 的 身份 验证 和 加 密 方法 作 一 总 结 ， 如 表 14-4 所 示 。 
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表 14-4 无 线 安全 实现 


实 现 身份 验证 方法 加 密 方 法 
WEP 开放 或 共享 密 钥 RC4 
WPA PSK TKIP 
WPA2 PSK 或 802.1x TKIP 或 AES 
802.11i PSK 或 802.1x AES 
14.6 ”小结 


与 摇滚 乐 一 样 ， 无线 技术 已 风行 世界 ， 对 那些 依赖 于 无 线 技术 的 人 来 说 ,没有 无 线 网 络 的 世界 难 
以 想象 一 一 在 手机 面世 前 ， 我 们 的 生活 是 什么 样 的 呢 ? 

本 章 首先 探讨 了 无 线 网 络 的 工作 原理 。 

打下 基础 后 ， 笔 者 介绍 了 无 线 RF 和 IEEE 标准 的 基本 知识 ,包括 802.11 系列 标准 ( 从 开始 说 起 ， 
如 何 发 展 到 当前 以 及 不 久 以 后 的 标准 ， 一 一 道 来 ) 以 及 制定 它们 的 委员 会 

最 后 ， 讨 论 了 无 线 安全 。 鉴 于 这 些 标 准 本 身 没有 提供 多 少 安全 功能 ， 我 们 探讨 了 标准 WPA 和 
WPA2， 它 们 使 用 PSK 和 802.1x 身份 验证 以 及 TKIP 和 AES 等 加 密 方法 。 


14.7 考试 要 点 


理解 IEEE 802.11a 规范 。802.11a 使 用 5 GHz 频段 ,如果 使 用 802.11h 扩展 ， 可 获得 23 个 互 不 重 
释 的 频道 。802.11a 的 最 大 传输 速度 为 54 Mbits， 但 仅 当 距离 接 人 点 不 超过 50 英尺 时 才能 达到 。 

理解 IEEE 802.11b 规范 。IEEE 802.11b 使 用 2.4 GHz 频段， 提供 3 个 互 不 重 秋 的 频道 。 其 传输 距 
离 很 长 ,但 最 大 传输 速度 只 有 11 Mbit/s。 

理解 IEEE 802.119 规范 。IEEE 802.11g 是 802.11b 的 “大 师兄 ”， 也 使 用 2.4 GHz 频段， 但 传输 
速度 更 高 ， 在 离 接 人 点 不 超过 100 英尺 时 ， 可 达 54Mbit/s。 

理解 IEEE 802.11n 的 组 件 。802.1ln 使 用 宽度 为 40 MHz 的 频道 ， 从 而 提供 了 更 高 的 带宽 ; 它 使 
用 块 确认 以 提高 MAC 传输 效率 ; 它 还 使 用 MIMO， 提 高 了 吞吐 量 、 传 输 距 离 和 传输 速度 。 

理解 WVolP 需求 。 无 线 VoIP 有 其 特殊 需求 ， 这 意味 着 需要 为 数据 和 语音 数据 流 创建 不 同 的 
VLAN、 使 用 支持 PoE 的 交换 机 、 确 定 带 宽 需 求 以 及 配置 QoS。 
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请 回答 下 述 问 题 。 

(1) IEEE 802.1lb 支持 的 最 大 传输 速度 是 多 少 ? 
(2) IEEE 802.11g 支持 的 最 大 传输 速度 是 多 少 ? 
(3) 判断 对 错 : TKIP 加 密 是 基于 RC4 算 法 的 。 
(4) IEEE 802.11b 使 用 哪个 频段 ? 

(5) IEEE 802.11g 使 用 哪个 频段 ? 

(6) IEEE 802.11a 使 用 哪个 频段 ? 
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(7) 802.11n 的 哪 项 功能 提高 了 MAC 的 传输 效率 ? 

(8) WPA2 使 用 哪 种 加 密 方 法 ? 

(9) Wi-Fi 联盟 认可 了 哪 种 IEEE 标准 ， 并 称 之 为 WPA2? 

(10) 采用 企业 EAP 解决 方案 时 ， 无 线 网 络 中 必须 有 哪 种 设备 ? 
(该 书面 实验 的 答案 见 本 章 复 习题 答案 的 后 面 。) 


14.9 复习 题 


下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
注意 。 信息 ， 请 参阅 本 书 的 前 言 。 


(1) 使 用 下 面 哪 3 种 EAP 能 够 在 企业 环境 中 部 署 无线 网 络 ? 


A. PEAP B. SLEAP C. EAP-FAST D. Local-EAP 
E. Global-EAP 
(2) 标准 802.11b 指定 使 用 哪个 频段 ? 
A.2.4 Gbits B. 5 G bivs C. 2.4 GHz D. 5 GHz 
(3) 标准 802.11a 指定 使 用 哪个 频段 ? 
A. 2.4 Gbit/s B. 5 Gbit/s C.2.4 GHz D. 5 GHz 
(4) 标准 802.11g 指定 使 用 哪个 频段 ? 
A. 2.4 Gbit/s B. 5 Gbits C.2.4 GHz D. 5 GHz 


(5) 在 办 公 室 的 天 花 板 上 安装 好 接 人 点 后 ， 要 让 无 线 客户 端 能 够 关联 到 它 ， 至 少 需 要 在 无 线 接 人 点 上 配 
置 哪个 参数 ? 


A. AES B. PSK C. SSID D. TKIP 

E. WEP F. 802.11i 
(6) WPA2 使 用 哪 种 加 密 方法 ? 

A. AES-CCMP B. PPK via lV C. PSK D. TKIP/MIC 
(7) 802.11b 提供 了 多 少 个 互 不 重 琶 的 频道 ? 

A.3 个 B. 12 个 C.23 个 D.40 个 


(8) 在 一 个 方形 办 公 室 安装 并 配置 单个 802.11g 接 入 点 后 ， 有 些 用 户 会 遇 到 性 能 低下 和 断 线 的 情况 ， 但 
大 部 分 用 户 的 连接 效率 很 高 。 请 问 下 面 哪 3 种 原因 可 能 导致 这 种 问题 ? 
A. TKIP 加 密 不 匹配 。 B. SSID 为 空 字符 串 。 C. 无 线 电话 干扰 D. SSID 不 匹配 
E. 金属 文件 柜 干扰 F. 天 线 的 类 型 或 方向 
(9) 标准 802.11a 支持 的 最 大 传输 速度 是 多 少 ? 


A. 6 Mbit/s B. 11 Mbit/s C. 22 Mbit/s D. 54 Mbit/s 
(10) 标准 802.11g 支持 的 最 大 传输 速度 是 多 少 ? 

A. 6 Mbits B.11Mbits C. 22 Mbit/s D. 54 Mbit/s 
(11) 标准 802.11b 支持 的 最 大 传输 速度 是 多 少 ? . 

A. 6 Mbit/s B. 11 Mbit/s C. 22 Mbits D. 54 Mbit/s 
(12) 下 面 哪 两 种 做 法 可 保护 无 线 接 人 点 ， 以 防 未 经 授权 的 访问 ? 

A. 给 AP 分 配 一 个 私有 下 地 址 B. 修改 默认 的 SSID 值 

C, 配置 新 的 管理 员 密 码 D. 将 混合 模式 设置 改 为 单 模式 


E. 配置 数据 流 过 滤器 
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(13) 装 有 b/g 无 线 网 卡 的 无 线 客户 端 无 法 连接 到 802.11b/g BSS， 且 接 入 点 没有 列 出 任何 活动 的 WLAN 


客户 端 ， 其 原因 可 能 是 什么 ? 
A. 在 客户 端 配置 的 频道 不 正确 B. 客户 端的 下 地 址 所 属 的 子 网 不 正确 
C. 客户 端的 预 共 享 密 钥 不 正确 D. 客户 端 配 置 的 SSID 不 正确 
(14) WPA 添加 了 哪 两 项 功能 ， 以 解决 WEP 固有 的 缺陷 ? 
A. 更 强大 的 加 密 算法 ”B. 使 用 临时 密 钥 C. 共享 密 钥 身份 验证 
D. 初始 化 向 量 更 短 了 E. 帧 序列 号 
(15) 下 面 哪 两 种 无 线 加 密 方法 是 基于 加 密 算法 RC4 的 ? 


A. WEP B. CCKM C. AES D. TKIP E.CCMP 
(16) 两 位 雇员 在 其 无 线 笔记 本 电脑 之 间 直 接 通 信 时 ， 他 们 采用 的 是 哪 种 无 线 拓扑 ? 
A. BSS B. SSD . C.IBSS D. ESS 


(17) 下 面 哪 两 项 正确 地 描述 了 WPA 定义 的 无 线 安全 标准 ? 
A. 它 指定 使 用 动态 加 密 密 钥 ， 密 钥 在 整个 用 户 连 接 期 间 不 断 改 变 
B. 它 要 求 所 有 设备 都 使 用 相同 的 加 密 密 钥 
C. 它 可 以 使 用 PSK 身份 验证 
D. 必须 使 用 静态 密 钥 
(18) 哪 种 WLAN 设计 让 用 户 在 接 人 点 之 间 漫 游 时 不 会 中 断 连 接 ? 
A. 使 用 同一 家 公司 生产 的 网 卡 和 接 人 点 
B. 让 无 线 蜂 窜 彼此 重 秋 至少 10% 
C. 让 所 有 接 入 点 使 用 相同 的 频道 
D. 通过 使 用 MAC 地 址 过 滤 ， 让 客户 端 能 够 向 周 围 的 AP 证明 身份 
(19) 扩展 服务 集 意味 着 什么 
A. 有 多 个 接 人 点 ， 它 们 的 SSID 相同 ， 且 通过 分 发 系统 相连 
B. 有 多 个 接 入 点 ， 它 们 的 SSID 不 同 ， 且 通过 分 发 系统 相连 
C. 有 多 个 接 人 点 ， 但 它们 位 于 不 同 的 大 楼 内 
D. 有 多 个 接 人 点 ， 但 其 中 一 个 充当 转发 器 
(20) 在 无 线 接 人 点 上 ， 需 要 配置 哪 三 个 基本 参数 ? 
A. 身份 验证 方法 B. RF 频道 C. RTS/CTS 
D. SSID E. 抗 微波 炉 干 扰 
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(1) A、C 和 了 D。EAP 有 很 多 类 型 ， 实 现 的 难 易 程度 各 不 相同 。 用 于 企业 环境 的 EAP 方法 包括 PEAP、 
EAP-FAST 和 Local-EAP。 

(2) C。 标 准 了 EEE 802.11b 和 IEEE 802.11g 都 使 用 RF 频段 2.4 GHz。 

(3) D。 标 准 IEEE 802.11a 使 用 频段 5 GHz。 

(4) C。 标 准 IEEE 802.11b 和 IEEE 802.11g 都 使 用 RF 频段 2.4 GHz。 

(5) C。 在 简单 的 WLAN 中 ， 至 少 需 要 给 AP 配置 SSID, 但 也 应 设置 频道 和 身份 验证 方法 。 

(6) A。WPA2 使 用 加 密 方法 AES-CCMP， 而 WPA 使 用 TKIP。 

(7)A。 标 准 IEEE 802.11b 提供 了 3 个 互 不 重 倒 的 频道 。 
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(8) C、E 和 FF。 无 线 电 话 干 扰 、 天 线 的 类 型 或 方向 以 及 金属 文件 柜 对 RF 信号 的 反射 都 会 导致 连接 性 
问题 。 

(9) D。 标 准 IEEE 802.11a 的 最 大 传输 速度 为 54 Mbit/s。 

(10) D。 标 准 IEEE 802.11g 的 最 大 传输 速度 为 54 Mbit/s。 

(11) B。 标 准 IEEE 802.11b 的 最 大 传输 速度 为 11 Mbit/s。 

(12) B 和 C。 安 装 AP 时 ,务必 修改 默认 的 SSID 和 管理 员 密 码 。 

(13) D。 这 个 问题 不 太 明 确 ， 但 唯一 可 能 的 答案 是 D。 如 果 没 有 广播 SSID (这 里 必须 这 样 假设 ) ， 客 
户 端 必须 配置 正确 的 SSID 才能 关联 到 AP。 

(14) B 和 了 。WPA 使 用 临时 密 钥 完整 性 协议 〈(TKIP ) ， 这 包括 密 钥 轮换 (不断 改 变 的 动态 密 钥 ) 和 由 
排序 。 

(15) A 和 D。WEP 和 TKIP (WPA ) 都 使 用 RC4 算 法 。 建 议 你 使 用 WPA2， 它 使 用 加 密 算法 AES。 

(16) C。 两 台 主 机 以 无 线 方式 直接 相连 与 通过 交叉 电缆 直接 相连 没有 什么 不 同 , 都 属于 ad-hoc 网 络 , 但 
在 无 线 领 域 ， 称 这 种 情形 为 独立 基本 服务 集 (IBSS ) 。 

(17)A 和 C。WPA 虽然 与 WEP 一 样 也 使 用 RC4 加 密 , 但 对 WEP 协 议 作 了 改进 : 使 用 不 断 变 化 的 动态 
密 钥 ， 并 提供 了 身份 验证 方法 预 共享 密 钥 。 

(18)B。 要 创建 扩展 服务 集 (ESS ) ， 需 要 让 AP 的 BSA 彼此 重 番 至 少 15%， 从 而 实现 无 颖 覆盖 ， 让 用 
户 在 AP 之 间 漫 游 时 不 会 中 断 连 接 。 

(19)A。 扩 展 服务 集 意味 着 有 多 个 接 人 点 ， 它 们 的 SSID 相同 ， 且 连接 到 同一 个 VLAN 或 分 发 系统 ,让 
用 户 能 够 漫游 。 

(20) A、B 和 D。 安 装 并 配置 接 人 点 时 ， 需 要 配置 的 三 个 基本 参数 是 SSID、RF 频道 和 身份 验证 方法 。 


14.11 书面 实验 14 答案 


(1) 11 Mbit/s (2) 54 Mbit/s (3) 对 (4) 2.4 GHz 
(5) 2.4 GHz (6) 5 GHz (7) 块 确认 (8) AES-CCMP 
(9) 802.11 标准 (10) RADIUS 服务 器 
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本 章 涵盖 如 下 CCNA 考试 要 点 。 

v 实现 IP 编 址 方案 和 IP 服务， 以 满足 中 型 企业 分 支 机 构 网 络 的 需求 

口 描述 同时 运行 Pv6 和 IPv4 的 技术 需求 ， 包 括 协议 、 双 栈 、 隧 道 技 术 等 ; 
口 描述 IPv6 地 址 。 

但 愿 你 已 经 为 详细 学 习 因 特 网 协议 第 6 版 (IPv6 ) 作 好 了 准备 , 从 本 章 开 始 我 们 来 学 习 这 部 分 内 容 。 

你 应 该 已 经 牢固 掌握 了 IPv4， 但 如 果 需 要 复习 这 方面 的 内 容 ， 请 参阅 介绍 TCP/IP 和 子 网 划分 的 
章节 。 如 果 不 清楚 IPv4 存在 的 地 址 耗 尽 问题 ， 请 复习 第 13 章 。 

IPv6 被 称 为 “下 一 代 因 特 网 协议 ”， 最 初 开发 它 旨 在 解决 IPv4 面临 的 地 址 耗 尽 危机 。 你 可 能 知道 
IPv6 的 一 些 皮毛 , 但 为 提供 灵活 性 、 效 率 、 容 量 和 优化 的 功能 ， 开 发 人 员 一 直 在 不 断 改 进 它 ， 以 满足 
人 们 日 益 增长 的 需求 。 相 比 于 IPv6，IPv4 的 容量 太 小 了 ， 这 就 是 IPv4 终 将 退出 历史 舞台 的 原因 所 在 。 

IPv6 报头 和 地 址 结构 经 过 了 全 面 修改 ; 在 IPv6 中 ,反思 IPv4 后 补充 的 众多 功能 已 成 为 标准 的 一 
部 分 。IPv6 整装待发 ， 为 满足 庞大 的 因特网 需求 作 好 了 充分 准备 。 

我 保证 本 章 简单 易 懂 ; 事实 上 ， 你 可 能 发 现 阅 读本 章 是 种 享受 一 一 我 在 编写 时 就 有 这 样 的 感觉 ! 
IPv6 复 杂 而 不 失 优 雅 , 拥有 众多 新 功能 , 它 像 一 辆 办 新 的 兰博基尼 与 一 部 引人入胜 的 未 来 主义 小 说 的 
新 奇 组 合 。 但 愿 你 阅读 本 章 的 感受 与 我 编写 时 一 样 。 


有 关 本 章 的 最 新 修订 ， 请 访问 www.lammle.com 或 www.sybex.com/go/ccna7e。 


注意 


15.1 为 何 需要 IPv6 


为 何 需要 IPv6 呢 ? 简单 地 说 , 是 因为 我 们 需要 通信 , 而 当前 的 系统 无 法 真正 满足 这 种 需求 一 一 就 
像 快 马 邮递 无 法 与 航空 邮递 比肩 。 只 要 看 看 为 节省 带宽 和 下 地址 投入 了 多 少时 间 和 精力 , 就 能 明白 这 
一 点 。 为 避免 地 址 耗 尽 ， 其 至 发 明了 变 长 子 网 掩 码 (VLSM )。 

连接 到 网 络 的 用 户 和 设备 每 天 都 在 增加 ， 这 不 是 坏事 ， 而 是 好 事 ， 它 让 我 们 找到 了 随时 与 更 多 人 
交流 的 新 途径 。 事 实 上 ， 这 是 人 类 的 基本 需求 。 但 前 景 并 不 乐观 ， 正 如 我 在 本 章 开 头 指出 的 ， 我 们 当 
前 进行 通信 依赖 的 是 IPv4， 而 IPv4 地 址 即将 耗 尽 。 从 理论 上 说 ，IPv4 提供 的 地 址 只 有 43 亿 左右 , 但 
并 非 每 一 个 地 址 都 可 供 我 们 使 用 。 使 用 无 类 域 间 路 由 选择 ( CIDR ) 和 网 络 地 址 转换 (NAT )， 确 实 可 
以 推迟 IPv4 地 址 耗 尽 的 时 间 , 但 这 些 地 址 也 会 在 几 年 内 耗 尽 。 在 中 国 , 还 存在 大 量 个 人 和 公司 未 连接 
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到 因特网 上 。 有 很 多 报告 提供 了 各 种 数字 ， 但 只 要 想 想 全 球 当前 有 大 约 68 亿 人 口 ， 而 据 估计 大 约 只 
有 10% 多 一 点 儿 的 人 连接 到 了 因特网 ， 你 就 会 相信 我 并 非 危 言 符 听 。 

上 述 统计 数字 揭示 了 一 个 残酷 的 事实 , 鉴于 IPv4 的 容量 ， 人 均一 台电 脑 都 不 可 能 ,更 不 用 说 配备 
在 电脑 上 的 其 他 他 设备 了 。 我 就 有 几 台 计算 机 , 别人 很 可 能 也 是 这 样 。 这 还 没有 包括 电话 、 笔 记 本 电 
脑 、 游 戏 控制 台 、 传 真 机 、 路 由 器 、 交 换 机 以 及 我 们 日 常 使 用 的 众多 其 他 设备 ! 我 应 该 说 得 很 明白 了 ， 
我 们 必须 采取 措施 ， 以 免 地 址 被 耗 尽 ， 最 终 人 们 无 法 彼此 通信 ， 而 这 种 措施 就 是 实现 IPv6。 


15.2 1IPv6 的 优点 各 用途 


那么 ，IPv6 有 何 神奇 之 处 呢 ? 它 真 能 让 我 们 脱离 即将 到 来 的 困境 吗 ? 真 的 值得 从 IPv4 升级 到 
IPv6 吗 ? 这 些 问 题 都 很 好 一 一 你 可 能 还 想到 了 其 他 一 些 问 题 。 当 然 ， 有 那么 一 群 人 ,他 们 患 有 久 经 考 
验 和 众所周知 的 “拒绝 改变 综合 征 ”， 但 绝 不 要 昕 他 们 的 。 倘 若 很 多 年 前 人 们 接受 了 这 些 人 的 观点 ， 
那么 现在 还 在 用 快 马 递 信 ， 人 们 需要 等 待 数 周 甚至 数 月 才能 收 到 。 相 反 ， 你 只 需 知道 答案 绝对 是 肯定 
的 。IPv6 不仅 提供 了 大 量 地 址 (3.4x10”， 这 绝对 足够 了 )， 还 内 置 了 众多 其 他 的 功能 ， 值 得 花 资 金 、 
时 间 和 精力 迁移 到 IPv6, 这 将 在 本 章 后 面 的 15.6 节 讨论 ,笔者 将 在 15.6 节 介 绍 各 种 从 IPv4 迁移 到 IPv6 
的 方法 ， 而 你 会 发 现 ， 迁 移 带 来 的 好 处 远 远 超过 害处 。 

当今 的 网 络 和 因特网 有 众多 创建 Pv4 时 没有 预见 到 的 需求 ; 为 满足 这 些 需 求 , 我 们 使 用 了 一 些 附 
加 功能 ,但 实现 起 来 比较 困难 ,倘若 它们 是 标准 的 组 成 部 分 ， 实现 起 来 将 容易 得 多 。IPv6 对 这 些 功能 
作 了 改进 ， 并 将 其 纳入 标准 。 一 个 这 方面 的 新 标准 是 PSec， 它 提供 了 端 到 端 安全 性 ， 我 们 会 在 第 16 
章 介 绍 。 

另 一 个 优点 是 移动 性 。 顾 名 思 义 ， 它 允许 设备 在 网 络 之 间 漫 游 ， 而 不 会 中 断 连接 。 

但 最 令 人 震撼 的 是 效率 更 高 了 。 首先, IPv6 分 组 报头 包含 的 字段 减少 了 一 半 , 且 所 有 字段 都 与 64 
位 边界 对 齐 ， 这 极 大 地 提高 了 处 理 速 度 一 一 相 比 于 IPv4， 查 找 速度 要 快 得 多 ! 原来 包含 在 IPv4 报头 
中 的 很 多 信息 都 删除 了 , 但 可 在 基本 报头 字段 后 面 添 加 可 选 的 扩展 报头 ,将 这 些 信息 或 其 一 部 分 加 入 
报头 。 

当然 ， 还 有 前 面 说 过 的 海量 地 址 (3.4x10”), 但 这 些 地 址 来 自 何方 呢 ?” 难 道 是 魔术 师 变 出 来 的 ? 
我 的 意思 是 说 这 么 多 的 地 址 必须 有 出 处 ! 这 是 因为 PPv6 提供 的 地 址 空间 非常 大 ， 即 地 址 很 长 一 一 比 
IPv4 长 4 倍 。IPv6 地 址 长 128 位 , 但 不 用 担心 , 在 15.3 节 ,， 我 会 剖析 这 种 地 址 的 各 个 部 分 ， 让 你 知道 
它 是 什么 样 的 。 新 增 的 长 度 让 地 址 空间 可 包含 更 多 的 层次 ， 从 而 提供 了 更 灵活 的 编 址 架构 。 这 还 提高 
了 路 由 选择 的 效率 和 可 扩展 性 ， 因 为 可 以 更 有 效 地 聚合 地 址 。IPv6 还 允许 主机 和 网 络 有 多 个 地 址 ， 这 
对 吸 须 改善 可 用 性 的 企业 来 说 显得 尤其 重要 。 男 外 ，IPv6 还 更 广泛 地 使 用 了 组 播 通信 (一 全 设备 向 很 
多 主机 或 一 组 选 定 的 主机 发 送 数 据 )， 这 也 将 提高 网 络 的 效率 ， 因 为 通信 目标 方 更 具体 了 。 

IPv4 大 量 地 使 用 广播 ,这 会 导致 很 多 问题 ,其 中 最 糟糕 的 是 可 怕 的 广播 风暴 一 一 不 受 控 制 地 四 处 
转发 广播 可 能 耗 尽 所 有 带宽 ， 导 致 整个 网 络 瘫痪 。 广 播 令 人 讨厌 的 另 一 点 是 ， 它 会 导致 网 络 中 的 每 台 
设备 都 中 断 。 广 播发 送 后 ， 每 台 设 备 都 必须 停 下 手中 的 工作 ， 对 广播 作出 响应 ， 而 不 管 广播 是 否 是 发 
送 给 它 的 。 

令 人 欣喜 的 是 ，IPv6 没有 广播 的 概念 ， 它 使 用 组 播 。IPv6 还 支持 另外 两 种 通信 : 单 播 和 任意 播 ， 
其 中 单 播 与 IPv4 中 相同 ,而 任意 播 是 新 增 的 。 任 意 播 可 将 同一 个 地 址 分 配给 多 人 台 设 备 ,而 向 该 地 址 发 
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送 数据 流 时 ， 它 会 被 路 由 到 共享 该 地 址 的 最 近 主 机 。 这 仅仅 是 开始 ,在 15.3.2 节 ， 我 们 会 更 详细 地 介 
绍 各 种 类 型 的 通信 。 


15.3 1!IPv6 地 址 及 其 表示 


理解 Pv4 地 址 的 结构 和 用 法 至 关 重 要 ， 对 人 Pv6 地 址 来 说 亦 如 此 。 你 知道 ，IPv6 地 址 长 128 位 ， 
这 比 IPv4 地 址 长 得 多 ， 因 此 除了 要 以 新 方式 使 用 IPv6 地 址 外 ，IPv6 地 址 管理 起 来 也 更 复杂 。 但 不 用 
担心 ， 这 里 将 解释 IPv6 地 址 的 组 成 部 分 、 如 何 书 写 及 其 众多 常见 的 用 法 。IPv6 地 址 刚 开始 看 起 来 可 
能 有 些 神秘 ， 但 很 快 你 就 会 掌握 它 ! 
请 看 图 15-1， 其 中 显示 了 一 个 IPv6 地 址 及 其 组 成 部 分 。 
2001 a 1234:56ab 
全 局 前 缀 子 网 接口 ID 
图 15-1 IPv6 地 址 示例 


正如 你 看 到 的 ,. IPY6 地 址 确实 长 得 多 ,但 除 此 之 外 ,还 有 什么 不 同 呢 ?首先 ， 注 意 到 它 包 含 8 组 
(而 不 是 4 组 ) 数字 ， 且 用 冒号 而 不 是 句点 分 隔 。 且 慢 ， 地 址 中 还 有 字母 ! 与 MAC 地 址 一 样 ，IPv6 
地 址 是 用 十 六 进 制 表示 的 ， 因 此 可 以 这 样 说 : IPv6 地 址 包含 8 个 用 冒号 分 隔 的 编组 ， 每 组 16 位 ， 并 
用 十 六 进 制 表 示 。 这 已 经 很 抛 口 了 ， 而 你 可 能 还 未 尝试 大 声 朗 读 ! 

你 肯定 想 组 建 测试 IPv6 的 网 络 ， 因 此 这 里 指出 另外 一 点 : 使 用 Web 浏览 器 连接 到 IPv6 设备 的 
HTTP 连接 时 ， 必 须 将 IPv6 地 址 用 方 括号 括 起 。 为 什么 呢 ? 因为 冒号 已 被 浏览 器 用 来 指定 端口 号 。 如 
果 不 用 方 括号 将 地 址 括 起 ， 浏 览 器 将 无 法 识别 地 址 。 

下 面 是 一 个 这 样 的 例子 : 


http:/V/[2001:0db8:3c4d:0012:0000:0000:1234:56ab]/defau1t.html 


显然 , 在 可 能 的 情况 下 ,你 更 愿意 使 用 名 称 来 指定 目的 地 (如 www.lammle.com ), 但 必须 接受 这 
样 的 事实 : 有 时 候 ， 不 得 不 咬 紧 牙关 ,输入 地 址 ， 虽 然 这 样 做 无 疑 很 痛苦 。 显 然 ， 实 现 IPV6 时 ,DNS 
也 极其 重要 。 


在 IPv6 地 址 中 , 每 个 字段 包含 4 个 十 六 进 制 字母 (16 位 ), 字段 之 间 用 冒号 分 隔 。 


注意 


15.3.1 简化 表示 


好 消息 是 ， 书 写 这 些 大 型 地 址 时 ， 有 很 多 简写 方式 。 其 中 之 一 是 可 省 略 地 址 的 某 些 部 分 ,但 必须 
遵守 一 些 规则 。 首 先 ， 可 省 略 各 个 字段 中 的 前 导 零 。 这 样 做 后 ， 前 面 的 示例 地 址 将 变 成 下 面 这 样 : 

2001:db8:3c4d:12:0:0:1234:56ab 

这 显然 要 好 得 多 一 一 至 少 无 需 书写 所 有 多 余 的 零 了 ! 但 对 于 只 包含 零 的 字段 ， 该 如 何 办 呢 ? 也 可 
将 它们 省 略 一 一 至 少 是 其 中 的 一 部 分 。 还 是 以 前 面 的 地 址 为 例 ， 可 省 略 两 个 只 包含 零 的 相 邻 字段 ， 并 
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用 两 个 冒号 替代 它们 ， 如 下 所 示 : 

2001:db8:3c4d:12::1234:56ab 

很 好 一 一 使 用 两 个 冒号 替代 了 相连 的 全 零 字 段 。 这 样 做 时 必须 遵守 如 下 规则 : 只 能 替换 相连 的 全 
零 字 段 一 次 。 因 此 ， 如 果 地 址 中 有 4 个 全 零 的 字段 ,但 它们 彼此 不 相 邻 ， 则 不 能 全 部 替换 它们 ; 请 记 
住 ， 这 里 的 规则 是 只 能 替换 相连 的 全 零 字段 一 次 。 请 看 下 面 的 地 址 : 

2001:0000:0000:0012:0000:0000:1234:56ab 
不 能 将 其 简化 成 下 面 这 样 : 

2001: :12::1234:56ab 
相反 ,最 多 只 能 将 其 简化 成 这 样 : 

2001: :12:0:0:1234:56ab 

为 什么 呢 ? 因 为 如 果 替 换 两 次 , 设备 见 到 该 地 址 后 ,将 无 法 判断 每 对 冒号 代表 多 少 个 字段 。 路 由 
器 见 到 这 个 错误 的 地 址 后 ， 将 发 出 这 样 的 疑问 : 我 是 将 每 对 冒号 都 替换 为 两 个 全 零 字段 呢 ， 还 是 将 第 
一 对 冒号 替换 为 3 个 全 零 字 段 ， 并 将 第 二 对 冒号 替换 为 1 个 全 零 字段 ? 路 由 器 无 法 回答 这 个 问题 ， 因 
为 它 没有 所 需 的 信息 。 


15.3.2 ”地 址 类 型 


我 们 熟悉 IPv4 单 播 地 址 、 广 播 地址 和 组 播 地 址 ， 它 们 指定 了 要 与 哪 台 设备 (至 少 是 多 少 台 设备 ) 
通信 。 但 前 面 说 过 ，IPv6 改变 了 这 种 三 重唱 局 面 ， 新 增 了 任意 播 ; 另外 ， 由 于 广播 效率 低下 ，Pv6 不 
再 支持 它 。 

下 面 介 绍 这 些 IPv6 地 址 类 型 和 通信 方法 的 功能 。 

口 单 播 地 址 ”目标 地 址 为 单 播 地 址 的 分 组 被 传输 到 单个 接口 。 为 均衡 负载 ， 位 于 多 台 设 备 中 的 
多 个 接口 可 使 用 相同 的 地 址 ， 但 这 种 地 址 被 称 为 任意 播 地 址 。 单 播 地 址 分 多 种 ， 但 这 里 不 详 
细 介 绍 。 

口 全 局 单 播 地 址 这 是 典型 的 可 路 由 的 公有 地 址 ， 与 IPv4 中 的 单 播 地 址 相同 。 全 局 地 址 以 
2000::/3 打头 。 

口 链 路 本 地 地 址 ”类 似 于 IPv4 私有 地 址 ， 也 是 不 可 路 由 的 ， 它 们 以 FE80::/10 打头 。 可 将 它们 
视 为 一 种 便利 的 工具 ， 让 你 能 够 为 召开 会 议 而 组 建 临 时 LAN， 或 创建 小 型 LAN， 这 些 LAN 
不 与 因特网 相连 ， 但 需要 在 本 地 共享 文件 和 服务 。 

口 唯一 的 本 地 地 址 ”这 些 地 址 也 是 不 可 在 因特网 路 由 的 ， 但 也 基本 上 是 全 局 唯一 的 ， 因 此 不 太 
可 能 重复 使 用 它们 。 唯 一 的 本 地 地 址 设计 用 于 替代 场 点 本 地 地 址 , 因此 它们 的 功能 几乎 与 IPv4 
私有 地 址 相同 : 支持 在 整个 场 点 内 通信 ， 可 路 由 到 多 个 本 地 网 络 。 场 点 本 地 地 址 已 于 2004 年 
9 月 废除 。 

口 组 播 地址 与 IPv4 中 一 样 ， 目 标 地 址 为 组 播 地 址 的 分 组 被 传输 到 该 组 播 地 址 表示 的 所 有 接口 。 
这 种 地 址 有 时 也 被 称 为 一 对 多 地 址 。IPv6 组 播 地 址 很 容易 识别 ,它们 总 是 以 FF 打头 。15.4 节 
将 详细 阐述 组 播 的 工作 原理 。 

口 任意 播 地 址 与 组 播 地 址 一 样 ， 任 意 播 地 址 也 标识 多 个 设备 的 多 个 接口 ， 但 有 一 个 很 大 的 差 
别 : 任意 播 分 组 只 被 传输 到 一 个 接口 一 一 根据 路 由 选择 距离 确定 的 最 近 接 口 。 这 种 地 址 的 特 
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. 殊 之 处 在 于 ， 可 将 单个 任意 播 地 址 分 配给 多 个 接口 。 这 种 地 址 被 称 为 “一 对 最 近 ” 地 址 。 
你 可 能 会 问 ， 在 IPv6 中 ， 是 否 有 保留 的 特殊 地 址 ， 因 为 IPv4 有 这 样 的 地 址 。 管 案 是 很 多 ， 下面 
就 介绍 它们 ! 


15.3.3 ”特殊 地 址 


下 面 列 出 一 些 绝对 应 该 牢记 的 地 址 范围 ， 因 为 我 们 总 是 会 用 到 它们 。 它 们 都 是 特殊 地 址 或 保留 用 
于 特定 目的 的 地 址 ,但 不 同 于 IPv4，IPv6 提供 的 地 址 非常 多 ， 因 此 保留 一 些 不 会 有 任何 害处 。 


口 0:0:0:0:0:0:0:0 〈::) ”相当 于 IPv4 地 址 0.0.0.0， 通 常 在 使 用 有 状态 DHCP 配置 时 ， 用 作 主 机 
的 源 地 址 。 

口 0:0:0:0:0:0:0:1 (::1) ”相当 于 IPv4 地 址 127.0.0.1。 

口 0:0:0:0:0:0:192.168.100.1 在 同时 支持 IP4 和 IPv6 的 网 络 中 ， 从 IPv4 地 址 转换 而 来 的 IPv6 
地 址 通常 这 样 书写 。 


口 2000::/3 全 局 单 播 地 址 范围 。 

口 FC00::/7 唯一 的 本 地 单 播 地 址 范围 。 

口 FE80::/10 链 路 本 地 单 播 地 址 范围 。 

口 FF00::/8 组 播 地 址 范围 。 

口 3FFF:FFFF::/32 保留 举例 和 编写 文档 时 使 用 。 

口 2001:0DB8::/32 保留 举例 和 编写 文档 时 使 用 。 

口 2002::/16 保留 供 6to4 隧道 技术 使 用 。6to4 隧道 技术 是 一 种 从 IPv4 迁移 到 IPv6 的 方法 ,让 

IPv6 分 组 能 够 通过 IPv4 网 络 进行 传输 ， 而 无 需 配置 显 式 的 隧道 。 

在 15.6 节 ,我 们 将 更 详细 地 介绍 这 一 点 , 但 在 此 之 前 ， 先 来 介绍 IPv6 在 互联 网 络 中 的 运行 方式 。 

我 们 知道 IPv4 的 工作 原理 ， 下 面 来 看 看 IPv6 有 何不 同 。 


15.4 1IPv6 在 互联 网 络 中 的 运行 方式 


现在 该 探讨 IPv6 的 细节 了 。 首先 , 介绍 如 何 给 主机 分 配 地 址 以 及 主机 如 何 找到 网 络 中 的 其 他 主机 
和 资源 。 

我 们 还 会 演示 设备 的 自动 编 址 功能 (无 状态 自动 配置 ) 以 及 另 一 种 类 型 的 自动 配置 (有 状态 自动 
配置 )。 请 记 住 ， 有 状态 自动 配置 使 用 DHCP 服务 器 ， 与 IPv4 中 极其 类 似 。 另 外 ， 本 节 还 介绍 IPv6 
网 络 中 因特网 控制 消息 协议 (ICMP ) 和 组 播 的 工作 原理 。 


15.4.1 自动 配置 


自动 配置 是 一 种 很 有 用 的 解决 方案 , 让 网 络 中 的 设备 能 够 给 自身 分 配 链 路 本 地 单 播 地 址 和 全 局 单 
播 地 址 。 它 是 这 样 完成 的 ; 首先 从 路 由 器 那里 获悉 前 缀 信息 ， 再 将 设备 自己 的 接口 地 址 用 作 接 口 ID。 
但 接口 ID 是 如 何 获得 的 呢 ? 大 家 都 知道 , 以 太 网 中 的 每 台 设 备 都 有 一 个 MAC 地 址 , 该 地 址 会 被 用 作 
接口 DD。 然 而 ，IPv6 地 址 中 的 接口 DD 长 人 4 位 ,而 MAC 地 址 只 有 48 位 ， 多 出 来 的 16 位 是 如 何 来 的 
呢 ? 在 MAC 地 址 中 间 插 入 额外 的 位 ， 即 FFFE。 

例如 ,假设 设备 的 MAC 地 址 为 0060:d673:1987， 插 和 人 FFFE 后 ， 结 果 为 0260:d6FF:FE73:1987。 


546 第 15 章 IPv6 


为 何 开头 的 00 变 成 了 02 呢 ? 问 得 好 。 插 入 时 将 采用 改进 的 eui-64〈( 扩展 唯一 标识 符 ) 格式 ， 它 
使 用 第 7 位 来 标识 地 址 是 本 地 唯一 的 还 是 全 局 唯一 的 。 如 果 这 一 位 为 1， 则 表示 地 址 是 全 局 唯一 的 ， 
如 果 为 0， 则 表示 地 址 是 本 地 唯一 的 。 在 这 个 例子 中 ， 最 终 的 地 址 是 全 局 唯一 的 还 是 本 地 唯一 的 呢 ? 
正确 的 答案 是 全 局 唯一 的 。 自 动 配置 可 节省 编 址 时 间 , 因为 主机 内需 与 路 由 器 交流 就 可 完成 这 项 工作 。 

为 完成 自动 配置 ， 主 机 执行 两 个 步骤 。 

(1) 首先 , 为 配置 接口 ， 主 机 需要 前 级 信息 (类 似 于 IPv4 地 址 的 网 络 部 分 )， 因 此 它 会 发 送 一 条 路 
由 器 请 求 (Router Solicitation, RS ) 消 息 。 该 消息 以 组 播 方式 发 送 给 所 有 路 由 器 。 这 实际 上 是 一 种 ICMP 
消息 ， 并 用 编号 进行 标识 。RS 消息 的 ICMP 类 型 为 133。 

(2) 路 由 器 使 用 一 条 路 由 器 通告 ( RA ) 进行 应 答 ， 其 中 包含 请 求 的 前 级 信息 。RA 消息 也 是 组 播 
分 组 ,被 发 送 到 表示 所 有 节点 的 组 播 地 址 ， 其 ICMP 类 型 为 134。RA 消息 是 定期 发 送 的 , 但 主机 发 送 
RS 消息 后 ， 可 立即 得 到 响应 ， 因 此 无 需 等 待 下 一 条 定期 发 送 的 RA 消息 ， 就 能 获得 所 需 的 信息 。 

图 1$-2 说 明了 这 两 个 步骤 。 


tt 路 由 器 发 送 RA 消 息 


了 主机 收 到 包含 前 组 的 RA 消 息 后 ， 
便 可 自动 配置 其 接口 了 
15-2 ”JPv6 自动 配置 过 程 中 的 两 个 步骤 


顺便 说 一 句 ， 这 种 类 型 的 自动 配置 称 为 无 状态 自动 配置 ， 因 为 无 需 进一步 与 其 他 设备 联系 以 获悉 
额外 的 信息 。 稍 后 讨论 DHCPv6 时 ， 将 介绍 有 状态 自动 配置 。 
下 面 来 看 看 如 何 给 思科 路 由 器 配置 IPv6。 


15.4.2 ”给 思科 路 由 器 配置 |Pv6 
要 在 路 由 器 上 启用 IPv6， 必 须 使 用 全 局 配置 命令 ipv6 unicast-routing: 


Corp(Cconfig)#ipv6 unicast-routing 

默认 情况 下 ,转发 Pv6 数据 流 的 功能 被 禁用 ， 因 此 需要 使 用 上 述 命令 启用 它 。 另 外 , 你 可 能 猜 到 
了 ， 默 认 不 会 在 任何 接口 上 启用 IPv6， 因 此 必须 进入 每 个 接口 并 启用 这 项 功能 。 

为 此 ， 可 使 用 多 种 方式 ， 但 最 简单 的 方式 是 ， 使 用 命令 ipv6 address <ipv6prefix>/<prefix- 
1ength> [eui-64] 给 接口 配置 一 个 地 址 。 

下 面 是 一 个 例子 : 


Corp(config-if)#ipv6 address 2001:db8:3c4d:1:0260:d6FF.FE73:1987/64 


可 指定 一 个 完整 的 128 位 IPv6 全 局 地 址 ( 就 像 前 面 的 例子 那样 )， 也 可 使 用 eui-64 选项 。eui-64 
格式 允许 设备 对 其 MAC 地 址 进行 转换 ， 以 生成 接口 ID ， 如 下 所 示 : 


15.4 IPv6 在 互联 网 络 中 的 运行 方式 547 


Corp(config-if)#ipv6 address 2001:db8:3c4d:1::/64 eui-64 
为 在 路 由 器 接口 上 启用 了 Pv6， 也 可 不 输入 IPv6 地 址 ， 而 让 其 自动 使 用 链 路 本 地 地 址 。 


如 果 只 有 链 路 本 地 地 址 ， 则 只 能 在 本 地 子 网 中 通信 。 
注意 


要 配置 路 由 器 接口 ， 使 其 只 使 用 链 路 本 地 地 址 ， 可 使 用 接口 配置 命令 ipv6 enable: 
Corp(Cconfig-if)#ipv6 enable 
下 面 配置 DHCPv6 服务 器 ， 以 探讨 有 状态 自动 配置 。 


15.4.3  DHCPv6 


DHCPv6 的 工作 原理 与 DHCPv4 极其 相似 ， 但 有 一 个 明显 的 差别 ， 那 就 是 支持 IPv6 新 增 的 编 
址 方案 。DHCP 提供 了 一 些 自动 配置 没有 的 选项 ， 这 可 能 令 你 感到 惊讶 。 在 自动 配置 中 ， 根 本 没有 
涉及 DNS 服务 器 、 域 名 以 及 DHCP 提供 的 众多 其 他 选项 。 这 是 在 大 多 数 IPv6 网 络 中 使 用 DHCP 的 
重要 原因 。 

在 IPv4 网 络 中 ， 客 户 端 启动 时 将 发 送 一 条 DHCP 发 现 消息 ， 以 查找 可 给 它 提 供 所 需 信息 的 服务 
器 。 但 在 IPv6 中 ， 首 先 发 生 的 是 RS 和 RA 过 程 。 如 果 网 络 中 有 DHCPv6 服务 器 ， 返 回 给 客户 端的 
RA 将 指出 DHCP 是 否 可 用 。 如 果 没 有 找到 路 由 器 ， 客 户 端 将 发 送 一 条 DHCP 请 求 消息 ， 这 是 一 条 组 
播 消息 ， 其 目标 地 址 为 f92::1:2， 表 示 所 有 DHCP 代理 ， 包 括 服 务 器 和 中 继 。 

思科 IOS 提供 了 一 定 的 DHCPv6 支持 , 但 仅 限于 无 状态 DHCP 服务 器 , 这 意味 着 它 没有 提供 地 址 
池 管理 功能 ， 且 可 配置 的 选项 仅 限 于 DNS、 域 名 、 默 认 网 关 和 SIP 服务 器 。 

这 意味 着 必要 时 需要 提供 其 他 服务 器 ， 以 提供 所 有 必要 的 信息 并 管理 地 址 分 配 。 


15.4.4 ICMPv6 


IPv4 使 用 ICMP 做 很 多 事情 ， 诸 如 目的 地 不 可 达 等 错误 消息 以 及 ping 和 traceroute 等 诊断 功能 。 
ICMPv6 也 提供 了 这 些 功能 ， 但 不 同 的 是 ， 它 不 是 独立 的 第 3 层 协 议 。ICMPv6 是 IPv6 不 可 分 割 的 部 
分 ， 其 信息 包含 在 基本 IPv6 报头 后 面 的 扩展 报头 中 。ICMPv6 新 增 了 一 项 功能 : 默认 情况 下 ， 可 通过 
ICMPv6 过 程 “路 径 MTU 发 现 ” 来 避免 IPv6 对 分 组 进行 分 段 。 

路 径 MTU 发 现 过 程 的 工作 原理 如 下 : 源 节点 发 送 一 个 分 组 ， 其 长 度 为 本 地 链 路 的 MTU。 在 该 分 
组 前 往 目 的 地 的 过 程 中 , 如 果 链 路 的 MTU 小 于 该 分 组 的 长 度 , 中 间 路 由 器 就 会 向 源 节点 发 送 消息 “分 
组 太 大 ”。 这 条 消息 向 源 节点 指出 了 当前 链 路 支持 的 最 大 分 组 长 度 ， 并 要 求 源 节点 发 送 可 穿越 该 链 路 
的 小 分 组 。 这 个 过 程 不 断 持续 下 去 ， 直 到 到 达 目 的 地 ， 此 时 源 节点 便 知 道 了 该 传输 路 径 的 MTU。 接 
下 来 ， 传 输 其 他 数据 分 组 时 ， 源 节点 将 确保 分 组 不 会 被 分 段 。 

ICMPv6 接管 了 发 现 本 地 链 路 上 其 他 设备 的 地 址 的 任务 ; 在 IPv4 中 , 这 项 任务 由 地 址 解析 协议 负 
责 ， 但 ICMPv6 将 这 种 协议 重 命名 为 邻居 发 现 。 这 个 过 程 是 使 用 被 称 为 请 求 节点 地 址 (solicited node 
address ) 的 组 播 地 址 完成 的 ， 每 台 主 机 连接 到 网 络 时 都 会 如 入 这 个 组 播 组 。 为 生成 请 求 节点 地 址 ， 在 
FF02:0:0:0:0:1:FF/104 末尾 加 上 目标 主机 的 IPv6 地 址 的 最 后 24 位 。 查 询 请 求 节点 地 址 时 ,相应 的 主机 
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将 返回 其 第 2 层 地 址 。 网 络 设备 也 以 类 似 的 方式 发 现 和 跟踪 相 邻 设备 。 前 面 介绍 RA 和 RS 消息 时 说 
过 ， 它 们 使 用 组 播 来 请 求 和 发 送 地 址 信息 ， 这 也 是 ICMPv6 的 邻居 发 现 功能 。 

在 IPv4 中 , 主机 使 用 IGMP 协议 来 告诉 本 地 路 由 器 , 它 要 加 入 特定 的 组 播 组 并 接收 发 送 给 该 组 播 
组 的 数据 流 。 这 种 IGMP 功能 已 被 ICMPv6 取代 ， 并 被 重 命名 为 组 播 侦 听 者 发 现 (multicast listener 


discovery )。 


15.5 1IPv6 路 由 选择 协议 


本 书 前 面 讨论 的 所 有 路 由 选择 协议 都 进行 了 升级 ， 以 用 于 IPv6 网 络 。 另 外 ， 在 IPv6 网 络 中 ， 本 
书 前 面 讨 论 的 很 多 功能 和 配置 的 用 法 都 保持 不 变 。IPv6 不 再 使 用 广播 , 因此 完全 依赖 于 广播 的 协议 都 
将 被 淘汰 ， 大 家 应 该 很 乐意 与 这 些 消耗 大 量 宽 带 并 影响 性 能 的 协议 说 拜拜 ! 

在 IPv6 中 继续 使 用 的 路 由 选择 协议 进行 了 改进 ， 并 具备 了 新 的 名 称 。 下 面 来 讨论 其 中 的 几 个 。 

首先 要 讨论 的 是 RIPng (下 一 代 )。 有 一 定 I 从 业经 验 的 人 都 知道 ，RIP 非常 适合 用 于 小 型 网 络 ， 
这 正 是 它 没有 惨遭 淘汰 ， 继 续 用 于 IPv6 网 络 的 原因 。 另 外 ， 还 有 EIGRPv6， 因 为 它 有 独立 于 协议 的 
模块 ， 只 需 添加 支持 IPv6 的 模块 就 可 以 了 。 保 留 下 来 的 路 由 选择 协议 还 有 OSPFv3 一 一 这 可 不 是 印刷 
错误 ， 确 实 是 v3。 用 于 IPv4 的 OSFP 为 v2， 因 此 升级 到 IPv6 后 ， 便 变 成 了 OSPFv3。 


15.5.1 RIPng 


坦率 地 说 ，RIPng 的 主要 功能 与 RIPv2 相同 。 它 仍 是 一 种 距离 矢量 协议 ,最 大 跳 数 为 1 5， 并 使 用 
水 平分 割 、 反 向 抑制 (poison reverse ) 等 环 路 避免 机 制 ， 但 使 用 UDP 端口 521 而 不 是 UDP 520。 

它 仍 使 用 组 播 来 发 送 更 新 ,但 在 IPv6 中 ,使 用 的 目标 地 址 为 FF02::9。 这 实际 上 很 好 , 因为 在 RIPv2 
中 , 使 用 的 组 播 地 址 为 224.0.0.9, 而 IPv6 使 用 的 组 播 地 址 也 以 9 结尾。 事实 上 ,大 多 数 路 由 选择 协议 
都 保留 了 IPv4 版 本 的 类 似 特征 。 

但 也 有 一 些 不 同 的 地 方 ， 否 则 就 不 是 新 版 本 了 。 大 家 知道 ， 在 RIPv2 中 ， 路 由 器 在 路 由 选择 表 中 
存储 了 前 往 每 个 网 络 的 下 一 跳 地 址 , 但 在 RIPng 中 ， 路 由 器 存储 的 下 一 跳 地 址 为 链 路 本 地 地 址 ， 而 不 
是 全 局 地 址 。 

RIPng (以 及 所 有 IPv6 路 由 选择 协议 ) 最 大 的 变化 之 一 可 能 是 , 在 接口 配置 模式 下 启用 网 络 通告 ， 
而 不 是 在 路 由 器 配置 模式 下 使 用 network 命令 。 因 此 , 使 用 RIPng 时 , 可 直接 在 接口 上 启用 该 路 由 选 
择 协 议 ， 这 将 创建 一 个 RIPng 进程 ( 而 无 需 在 路 由 器 配置 模式 下 启动 RIPng 进程 )， 如 下 所 示 : 

Routerl(config-if)#ipv6 rip 1 enable 


其 中 的 1 是 一 个 标记 (也 可 使 用 名 称 而 不 是 编号 )， 标 识 了 RIPng 进程 。 前 面 说 过 ， 这 会 启动 一 
个 RIPng 进程 ， 而 无 需 进 入 路 由 器 配置 模式 来 启动 它 。 

但 如 果 要 进入 路 由 器 配置 模式 ， 以 配置 重 分 发 等 功能 ， 也 可 以 这 样 做 ， 如 下 所 示 : 

Routerl(config)#ipv6 router rip 1 

Routerl(config-rtr)# 


”请 记 住 ，RIPng 的 工作 原理 与 RIPv4 极其 相似 ， 最 大 的 差别 在 于 ， 为 通告 接口 连接 的 网 络 ， 只 需 
在 接口 上 启用 RIPng， 而 无 需 使 用 network 命令 。 
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15.5.2 EIGRPV6 


与 RIPng 一 样 ，EIGRPv6 的 工作 原理 也 与 其 IPv4 版 本 极其 相似 一 一 EIGRP 提供 的 大 部 分 功能 仍 
可 用 。 

EIGRPv6 也 是 一 种 高 级 距离 矢量 协议 ， 有 一 些 链 路 状态 协议 的 特征 。 它 也 使 用 Hello 分 组 来 发 现 
邻居 ， 使 用 可 靠 传输 协议 ( RTP ) 来 提供 可 靠 的 通信 ， 并 使 用 弥散 更 新 算法 (DUAL ) 实现 无 环 路 快 
速 会 聚 。 

Hello 和 更 新 分 组 是 以 组 播 的 方式 发 送 的， 与 RIPng 一 样 ，EIGRPv6 使 用 的 组 播 地 址 的 最 后 部 分 
与 原来 相同 : 在 IPv4 中 , 使 用 的 组 播 地 址 为 224.0.0.10, 而 在 IPv6 中 , 使 用 的 组 播 地 址 为 FF02::A ( A 
是 10 的 十 六 进 制 表示 )。 

然而 , 这 两 个 版 本 肯定 有 不 同 之 处 。 最 明显 的 不 同 是 , 不 再 使 用 network 命令 ， 而 在 接口 配置 模 
式 下 启用 对 网 络 的 通告 ， 这 与 RIPng 相同 ;但 仍 必 须 在 路 由 器 配置 模式 下 使 用 命令 no shutdown 启 
用 EIGRPv6， 就 像 启用 接口 一 样 。 

要 启用 EIGRPv6， 可 像 下 面 这 样 做 : 

Routerl(config)#ipv6 router eigrp 10 

其 中 的 10 也 是 自治 系统 (AS ) 号 。 执 行 该 命令 后 ， 提 示 符 将 变 成 ( config-rtr )， 然 后 必须 执 
行 命令 no shutdown: 

Routerl(config-rtr)#no shutdown 
在 该 模式 下 ， 还 可 配置 其 他 选项 ， 如 重 分 发 。 

下 面 进入 接口 配置 模式 ， 并 启用 IPv6: 

Routerl(config-if)#ipv6 eigrp 10 

在 该 接口 命令 中 ，10 是 在 路 由 器 配置 模式 下 指定 的 AS 号 。 

要 介绍 的 最 后 一 种 IPv6 路 由 选择 协议 是 OSPFv3。 


15.5.3 OSPFYV3 


OSPFv3 也 与 OSPFv2 有 很 多 相似 之 处 。 

OSPFv3 的 根基 基本 没 变 ， 它 仍 是 一 种 链 路 状态 路 由 选择 协议 ， 将 整个 互联 网 络 或 自治 系统 划分 
成 区 域 ， 以 形成 层次 结构 。 多 区 域 OSPF 不 在 CCNA 考试 范围 内 一 一 至 少 目前 如 此 ， 真 是 谢 天 谢 地 ! 
然而 ， 在 OSPFv3 中 ,第 9 章 讨论 的 一 些 选项 有 所 变化 。 

在 OSPFv2 中 ,默认 情况 下 ,路 由 器 ID( RID ) 为 最 大 的 IP 地址 ( 也 可 以 手工 指定 它 ), 但 在 OSPFv3 
中 ， 需 要 手工 指定 RID 和 区 域 ID， 它 们 仍 是 32 位 的 值 ， 但 不 再 默认 使 用 IP 地 址 ， 因 为 IPv6 地 址 长 
128 位 。 通 过 要 求 手工 指定 这 些 值 ， 并 将 OSPF 分 组 报头 中 的 下 地 址 删除 ， 使 OSPFv3 几乎 可 用 于 任 
何 网 络 层 协 议 ! 

在 OSPFv3 中 ， 邻 接 关系 和 下 一 跳 属 性 是 使 用 链 路 本 地 地 址 指定 的 ， 它 还 使 用 组 播 来 发 送 更 新 和 
确认 :用 组 播 地 址 FF02::5 表示 OSPF 路 由 器 ,并 用 组 播 地 址 FF02::6 表示 OSPF 指定 路 由 器 。 在 OSPFv2 
中 , 与 这 些 组 播 地 址 对 应 的 分 别 是 224.0.0.5 和 224.0.0.6。 

不 同 于 其 他 不 那么 灵活 的 IPv4 路 由 选择 协议 ，OSPFv2 能 够 将 特定 网 络 和 接口 加 入 OSPF 进程 ， 
但 这 也 是 在 路 由 器 配置 模式 下 进行 的 。 与 前 面 说 到 的 其 他 IPv6 路 由 选择 协议 一 样 , 在 OSPFv3 中 , 也 
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可 在 接口 配置 模式 下 将 接 口 及 其 连接 的 网 络 加 入 OSPF 进程 。 

OSPFv3 的 配置 类 似 于 下 面 这 样 : 

Routerl(config)#ipv6 router osfp 10 

Routerl(config-rtr)#router-id 1.1.1.1 

要 配置 汇总 和 重 分 发 等 , 必须 进入 路 由 器 配置 模式 ; 但 配置 OSPFv3 时 , 可 不 在 这 种 模式 下 进行 
而 可 在 接口 模式 下 进行 配置 。 

配置 完 接口 后 ， 将 自动 创建 OSPF 进程 。 接 口 配置 类 似 于 下 面 这 样 : 

Routerl(config-if)#ipv6 ospf 10 area 0.0.0.0 


因此 ， 只 需 进 入 每 个 接口 ， 并 指定 进程 ID 和 区 域 即 可 。 
介绍 IPv6 路 由 选择 协议 后 ， 该 探讨 如 何 从 IPv4 迁移 到 IPv6 了 。 


15.6 ”迁移 到 IPv6 


前 面 深入 地 讨论 了 IPv6 的 工作 原理 以 及 如 何在 网 络 中 配置 它 , 但 这 样 做 需要 付出 多 大 的 代价 呢 ? 需 
要 做 多 少 功 呢 ? 问 得 好 ! 答案 因 人 而 异 ， 因 为 这 在 很 大 程度 上 取决 于 当前 的 基础 设施 如 何 。 如 果 路 由 器 
和 交换 机 很 日 ， 必 须 对 它们 都 进行 升级 以 支持 Pv6， 则 和 需要 做 大 量 的 修改 ! 这 还 没有 考虑 服务 器 和 计算 
机 操作 系统 (OS )， 还 有 让 应 用 程序 兼容 所 需 付 出 的 汗水 甚至 泪水 。 因 此 ， 需 要 付出 的 代价 非常 大 ! 幸 
好 除非 要 推倒 重 来 ， 否 则 很 多 OS 和 网 络 设备 都 支持 IPv6， 只 是 以 前 一 直 没有 使 用 这 些 功能 而 已 。 

还 有 一 个 问题 没有 回答 ， 那 就 是 需要 付出 多 少 劳动 和 时 间 。 坦 率 地 说 ， 相 当 多 。 无 论 如 何 ， 需 要 
花 些 时 间 检 查 系统 ， 确 保 一 切 运行 正常 。 如 果 网 络 很 大 ， 有 大 量 设备 ， 就 会 需要 相当 长 的 时 间 ! 但 不 
要 人 钨 懂 ， 有 人 制定 了 迁移 策略 ， 让 你 能 够 逐步 完成 迁移 。 本 节 将 介绍 3 种 主要 的 迁移 策略 。 第 一 种 称 
为 双 栈 ， 它 人 允许 设备 同时 运行 IPv4 和 IPv6 协议 栈 ， 从 而 能 够 同时 支持 现 有 的 通信 和 新 的 IPv6 通信 。 
第 二 种 策略 是 6to4 隧道 技术 ， 如 果 要 让 两 个 IPv6 网 络 通 过 IPv4 网 络 进行 通信 ， 可 选择 这 种 策略 。 这 
里 介绍 第 三 种 策略 只 是 为 了 好 玩 ， 这 可 能 会 让 你 感到 惊讶 。 


15.6.1 双 栈 


双 栈 是 最 常用 的 迁移 策略 ， 因 为 最 容易 实现 。 它 让 设备 能 够 使 用 IPv4 或 IPv6 进行 通信 。 双 栈 能 
够 让 你 逐一 对 网 络 中 的 设备 和 应 用 程序 进行 升级 ， 随 着 网 络 中 越 来 越 多 的 主机 和 设备 得 以 升级 ， 越 来 
越 多 的 通信 都 会 以 Pv6 的 方式 进行 ， BE IPv6 时, 便 可 将 旧 的 IPv4 协议 栈 完 全 删除 了 ， 
因为 不 再 需要 它们 了 。 

另外 ,在 思科 路 由 器 上 配置 双 栈 非常 容易 : 只 需 启用 IPv6 转发 并 给 接口 分 配 IPv6 地 址 即 可 ， 如 
下 所 示 : 

CorpCconfig)#ipv6 unicast-routing 

Corp(Cconfig)#interface fastethernet 0/0 

Corp(config-if)#ipv6 address 2001:db8:3c4d:1::/64 eui-64 

Corp(config-if)#ip address 192.168.255.1 255.255.255.0 

然而 , 坦率 地 说 , 你 还 应 了 解 各 种 隧道 技术 , 因为 在 网 络 中 只 使 用 IPv6 的 时 代 还 需 一 段 时 间 才 会 
到 来 。 
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15.6.2 ”6to4 隧道 技术 


6to4 隧道 技术 很 有 用 ， 人 允许 通过 IPv4 网 络 传输 IPv6 分 组 。 很 可 能 遇 到 这 样 的 情况 : 网 络 中 有 多 
个 IPv6 子 网 , 或 网 络 的 某 些 部 分 只 支持 IPv6, 而 这 些 网 络 需 要 彼此 通信 。 如 果 在 WAN 或 你 无 法 控制 
的 其 他 网 络 出 现 这 种 情况 ， 该 怎么 办 呢 ? 解决 办 法 是 创建 一 条 隧道 ， 让 IPv6 数据 流 能 够 通过 IPv4 网 
络 进行 传输 。 

隧道 的 概念 并 不 难 理解 ， 而 创建 隧道 也 没有 你 想象 的 那么 难 。 简 单 地 说 ,隧道 技术 就 是 拦截 要 穿 
越 IPv4 网 络 的 IPv6 分 组 ， 并 给 它 添加 一 个 IPv4 报头 。 这 有 点 像 钓 到 鱼 后 再 把 它 放 掉 ， 只 是 在 将 鱼 放 
人 水 中 前 ， 为 它们 贴 上 标签 。 

要 明白 这 一 点 ， 请 看 图 15-3。 

双 栈 双 栈 


Routerl Router2 


DT 一 本 IPv4 网 1 
IPv6 主机 一 一 ge 2 。 IPv6 主机 
和 网 络 eis ,9 和 网 络 
| IPv4: 192.168.30.1 ee IPv4: 192.168.40.1 [FE 3 
3 | IPv6: 2001:db8:1:1::1 IPv6: 2001:db8:2:2::1 2 
Em -= 
Se LEE 


封装 在 IPv4 分 组 中 的 IPv6 分 组 
图 15-3 创建 6to4 隧道 


要 创建 隧道 ， 需 要 两 台 前 面 介绍 过 的 双 栈 路 由 器 ， 并 添加 一 些 配 置 ， 在 这 些 路 由 器 之 间 建 立 一 条 
隧道 。 隧 道 的 创建 非常 简单 ， 只 需 告诉 每 台 路 由 器 ,隧道 的 起 点 和 终点 在 什么 地 方 。 要 在 图 15-3 所 示 
的 路 由 器 之 间 建 立 隧道 ， 只 需 做 如 下 配置 : 

Routerl(config)#int tunnel 0 

Routerl(config-if)#ipv6 address 2001:db8:1:1::1/64 

Router1(Cconfig-if)#tunnel source 192.168.30.1 

Routerl(config-if)#tunnel destination 192.168.40.1 

Routerl(config-if)#tunnel mode ipv6ip 


Router2Cconfig)#int tunnel 0 

Router2(config-if)#ipv6 address 2001:db8:2:2::1/64 

Router2(config-if)#tunnel source 192.168.40.1 

Router2(config-if)#tunne1 destination 192.168.30.1 

Router2(config-if)#tunnel mode ipv6ip 

这 样 ， 两 个 IPv6 网 络 就 可 通过 IPv4 网 络 进行 通信 了 。 需 要 指出 的 是 ， 这 只 是 一 种 权宜 之 计 ， 我 
们 的 终极 目标 是 组 建 纯粹 的 端 到 端 IPv6 网 络 。 

需要 注意 的 一 个 要 点 是 ， 如 果 穿 越 的 IPv4 网 络 包含 NAT 转换 点 ， 前 面 创建 的 隧道 将 遭 到 破坏 1 ! 
多 年 来 , NAT 获得 了 重大 改进 ,能够 处 理 特定 的 协议 和 动态 连接 ; 如 果 没 有 这 些 改进 ，NAT 可 能 破坏 
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大 部 分 连接 。 鉴 于 大 多 数 NAT 实现 都 没有 考虑 这 种 迁移 策略 ， 因 此 NAT 会 带 来 麻烦 。 

但 有 一 种 解决 这 种 问题 的 方案 , 被 称 为 Teredo, 借助 它 能 够 将 通过 隧道 传输 的 数据 流 都 放 在 UDP 
分 组 中 。NAT 不 理会 UDP 分 组 ， 因 此 这 些 分 组 不 会 像 其 他 协议 分 组 那样 遭 到 破坏 。 使 用 Teredo 后 ， 
分 组 将 伪装 成 UDP 分 组 ， 从 而 逃 过 NAT 破坏 。 


15.6.3 NAT-PT 


我 们 可 能 听 说 过 ，IPv6 不 支持 NAT， 这 种 说 法 只 在 一 定 程度 上 正确 。IPv6 本 身 确实 没有 NAT 实 
现 ， 但 那 只 是 技术 实现 细节 ， 有 一 种 迁移 策略 名 为 NAT 协议 转换 ( NAT-PT )。 需 要 知道 的 是 ， 只 有 
在 万 不 得 已 的 情况 下 才 使 用 这 种 方法 ， 因 为 它 并 非 很 好 的 解决 方案 。 使 用 这 种 解决 方案 时 ，IPv4 主机 
只 能 与 IPv4 主机 通信 ， 而 IPv6 主机 也 只 能 与 IPv6 主机 通信 。NAT-PT 不 重新 封装 分 组 ， 而 将 分 组 从 
一 种 IP 类 型 转换 为 男 一 种 PP 类型。 虽然 配 置 NAT-PT 不 在 CCNA 考试 范围 内 ， 但 这 里 还 是 要 简要 地 
介绍 它 。 与 IPv4 中 的 NAT 一样， 实现 NAT-PT 的 方式 有 3 种。 

静态 NAT-PT 提供 一 对 一 的 映射 ， 将 一 个 IPv4 地 址 映射 到 一 个 IPv6 地 址 ， 这 类 似 于 静态 NAT。 
还 有 动态 NAT-PT， 它 使 用 一 个 PPv4 地 址 池 ， 将 一 个 IPv4 地 址 映射 到 一 个 IPv6 地 址 〈 听 起 来 似 曾 相 
识 ),。 最 后 , 还 有 端口 地 址 转换 协议 转换 (NAPTPT )， 它 提供 多 对 一 映射 , 将 多 个 IPv6 地 址 映射 到 同 
一 个 IPv4 地 址 和 不 同 的 端口 号 。 

正如 你 看 到 的 ， 不同 于 IPv4 NAT，NAT-PT 和 NAPT-PT 并 非 用 于 在 公有 IPv6 地 址 和 私有 IPv6 地 
址 之 间 转 换 ， 而 用 于 在 IPv4 地 址 和 PPv6 地 址 之 间 转 换 。 再 重申 一 次 ， 仅 在 万 不 得 已 时 才能 使 用 它 。 
在 大 多 数 情况 下 ， 隧 道 技术 的 效果 要 好 得 多 ， 没 有 这 种 配置 带 来 的 麻烦 和 系统 开销 。 


15.7 小结 


这 是 有 趣 的 一 章 , 但 愿 你 阅读 本 章 后 , 像 我 一 样 感到 既 有 趣 又 有 所 收获 。 学习 IPv6 的 最 佳 方式 是 ， 
在 路 由 器 上 尝试 配置 它 。 

本 章 介 绍 了 IPv6 基本 知识 以 及 如 何在 思科 互联 网 络 中 使 用 它 。 阅 读本 章 后 , 你 知道 需要 学 习 的 东 
西 很 多 ， 而 这 里 只 介绍 了 一 些 皮 毛 , 但 这 足以 通过 CCNA 考试 。 

本 章 首先 介绍 了 为 何 需 要 IPv6 以 及 IPv6 的 优点 。 接 下 来 讨论 了 IPv6 地 址 及 其 简写 , 并 介绍 了 各 
种 类 型 的 IPv6 地 址 以 及 保留 的 特殊 IPv6 地 址 。 

IPv6 的 部 署 几乎 可 自动 完成 ， 即 主机 使 用 自动 配置 ， 因 此 本 章 讨 论 了 IPv6 如 何 使 用 自动 配置 及 
其 在 配置 思科 路 由 器 方面 的 作用 。 与 IPv4 一 样 ， 在 IPv6 网 络 中 ， 也 可 使 用 DHCP 服务 器 向 主机 提供 
选项 一 一 不 是 IPv6 地 址 ， 而 是 诸如 DNS 服务 器 地 址 等 选项 。 

在 IPv6 中 ,ICMP 非常 重要 。 本 章 详细 介绍 了 ICMPv6 的 工作 原理 , 然后 探讨 了 如 何在 IPv6 网 络 
中 配置 RIP、EIGRP 和 OSPF。 

迁移 到 IPv6 也 很 重要 ， 笔 者 介绍 了 这 样 做 的 优点 和 缺点 ， 还 介绍 了 3 种 迁移 策略 : 双 栈 、6to4 
隧道 以 及 NAT-PT。 其 中 NAT-PT 仅 在 万 不 得 已 时 才能 使 用 。 


15.8 考试 要 点 
了 明白 为 何 需要 IPv6。 如 果 没 有 IPV6，IP 地 址 将 耗 尽 。 
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理解 本 地 链 路 地 址 。 本 地 链 路 地 址 类 似 于 私有 IPv4 地 址 ,但 即使 在 组 织 内 部 也 不 可 路 由 。 

理解 本 地 唯一 地 址 。 与 本 地 链 路 地 址 一 样 , 这 种 地 址 也 类 似 于 私有 IPv4 地 址 , 不 可 路 由 到 因特网 。 
然而 ， 本 地 链 路 地 址 和 本 地 唯一 地 址 的 差别 在 于 ， 后 者 可 在 组 织 内 部 路 由 。 

理解 IPv6 地 址 。 不 同 于 IPvV4，IPV6 地 址 空间 大 得 多 。IPv6 地 址 长 128 位 ， 用 十 六 进 制 表示 ， 而 
IPv4 地 址 长 32 位 ， 用 十 进 制 表示 。 


15.9 书面 实验 15 


请 回答 下 述 问题 。 

(1) 哪 种 分 组 只 被 传输 到 一 个 接口 ? 

(2) 哪 种 地 址 类 似 于 公有 卫 v4 地 址 ? 

(3) 哪 种 地 址 不 可 路 由 ? 

(4) 哪 种 地 址 不 可 路 由 到 因特网 ， 却 是 全 局 唯一 的 ? 

(5) 哪 种 地 址 用 于 将 分 组 传输 到 多 个 接口 ? 

(6) 哪 种 地 址 标识 多 个 接口 ， 但 目标 地 址 为 这 种 地 址 的 分 组 只 被 传输 到 第 一 个 找到 的 接口 ? 
(7) 哪 种 路 由 选择 协议 使 用 组 播 地 址 FF02::5? 

(8) IPv4 提供 了 环 回 地 址 127.0.0.1，IPv6 环 回 地 址 是 什么 ? 
(9) 链 路 本 地 地 址 总 是 以 什么 打头 ? 

(10) 唯一 的 本 地 单 播 地 址 以 什么 打头 ? 

(该 书面 实验 的 答案 见 本 章 复 习题 答案 的 后 面 。) 


15.10 复习 题 


下 面 的 复习 题 旨 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获取 更 多 复习 题 的 
注意 ” 信息 ， 请 参阅 本 书 的 前 言 。 


(1) 下 面 哪 种 有 关 全 局 单 播 地 址 的 说 法 是 正确 的 ? 

A. 目标 地 址 为 单 播 地 址 的 分 组 被 传输 到 单个 接口 

B. 这 是 典型 的 公有 可 路 由 地 址 ， 就 像 IPv4 中 的 公有 可 路 由 地 址 

C. 这 些 地 址 类 似 于 IPv4 私有 地 址 ， 也 不 能 路 由 到 因特网 

D. 这 些 地 址 不 用 于 路 由 选择 ,但 是 全 局 唯一 的 ， 因 此 不 可 能 重复 使 用 
(2) 下 面 哪 种 有 关 单 播 地 址 的 说 法 是 正确 的 ? 

A. 目标 地 址 为 单 播 地 址 的 分 组 被 传输 到 单个 接口 

B. 这 是 典型 的 公有 可 路 由 地 址 ， 就 像 Pv4 中 的 公有 可 路 由 地 址 

. C. 这 些 地 址 类 似 于 IPv4 私有 地 址 ， 也 不 能 路 由 到 因特网 

D. 这 些 地 址 不 用 于 路 由 选择 ， 但 是 全 局 唯一 的 ， 因 此 不 可 能 被 重复 使 用 
(3) 下 面 哪 种 有 关 链 路 本 地 地 址 的 说 法 是 正确 的 ? 

A. 目标 地 址 为 广播 地 址 的 分 组 被 传输 到 单个 接口 

B. 这 是 典型 的 公有 可 路 由 地 址 ， 就 像 Pv4 中 的 公有 可 路 由 地 址 


554 第 15 章 IPV6 


C. 这 些 地 址 类 似 于 IPv4 私有 地 址 ， 也 不 能 路 由 到 因特网 
D. 这 些 地 址 不 用 于 路 由 选择 ， 但 是 全 局 唯一 的 ， 因 此 不 可 能 被 重复 使 用 
(4) 下 面 哪 种 有 关 唯 一 本 地 地 址 的 说 法 是 正确 的 ? 
A. 目标 地 址 为 唯一 本 地 地 址 的 分 组 被 传输 到 单个 接口 
B. 这 是 典型 的 公有 可 路 由 地 址 ， 就 像 Pv4 中 的 公有 可 路 由 地 址 
C. 这 些 地 址 类 似 于 IPv4 私有 地 址 ， 也 不 能 路 由 到 因特网 
D. 这 些 地 址 不 用 于 因特网 路 由 选择 ， 但 是 全 局 唯一 的 ， 因 此 不 可 能 被 重复 使 用 
(5) 下 面 哪 种 有 关 组 播 地 址 的 说 法 是 正确 的 ? 
A. 目标 地 址 为 组 播 地 址 的 分 组 被 传输 到 单个 接口 
B. 目标 地 址 为 组 播 地 址 的 分 组 被 传输 到 该 地 址 标识 的 所 有 接口 ， 这 种 地 址 也 被 称 为 一 对 多 地 址 
C. 组 播 地 址 标识 多 个 接口 ， 但 将 这 种 地 址 用 作 目 标 地址 的 分 组 只 被 传输 到 其 中 一 个 接口 ， 这 种 地 
址 也 被 称 为 “一 对 多 个 之 一 ”地 址 
D. 这 些 地 址 不 用 于 路 由 选择 ,但 是 全 局 唯一 的 ， 因 此 不 可 能 被 重复 使 用 
(6) 下 面 哪 种 有 关 任 意 播 地 址 的 说 法 是 正确 的 ? 
A. 目标 地 址 为 任意 播 地 址 的 分 组 被 传输 到 单个 接口 
B. 目标 地 址 为 任意 播 地 址 的 分 组 被 传输 到 该 地 址 标识 的 所 有 接口 ， 这 种 地 址 也 被 称 为 一 对 多 地 址 
C. 任意 播 地 址 标识 多 个 接口 ， 但 将 这 种 地 址 用 作 目 标 地 址 的 分 组 只 被 传输 到 其 中 一 个 接口 ， 这 种 
地 址 也 被 称 为 “一 对 多 个 之 一 ”地 址 
D. 这 些 地 址 不 用 于 路 由 选择 ， 但 是 全 局 唯一 的 ， 因 此 不 可 能 被 重复 使 用 
(7) 要 ping IPv6 本 地 主机 的 环 回 地 址 ， 可 输入 直面 娜 个 命令 ? 


A.ping 127.0.0.1 B.ping 0.0.0.0 C. ping ::1 D.trace 0.0.::1 
(8) OSPFv3 使 用 哪 两 个 组 播 地 址 ? 

A. FF02::A 也 . FF02::9 C. FF02::S D. FF02::6 
(9) RIPng 使 用 哪个 组 播 地 址 ? 

A.FF02::A B. FF02::9 C.FF02::5 D. FF02::6 
(10) EIGPRv6 使 用 哪个 组 播 地 址 ? 

A. FF02::A B. FF02::9 C. FFO02::5 D. FF02::6 


(11) 要 启用 RIPng， 可 使 用 哪个 命令 ? 
A.Routerl(config-if)# ipv6 ospf 10 area 0.0.0.0 
了 .Router1(Cconfig-if)#ipv6 router rip 1 
C.Routerl(config)# ipv6 router eigrp 10 
D. Routerl(config-rtr)#no shutdown 
E. Routerl(config-if)#ipv6 eigrp 10 

(12) 要 启用 EIGRPv6， 可 使 用 哪 3 个 命令 ? 
A. Routerl(config~if)# ipv6 ospf 10 area 0.0.0.0 
B. Routerl(config-if)#ipv6 router rip 1 
C. Routerl(config)# ipv6 router eigrp 10 
D. Routerl(config-rtr)#no shutdown 
E. Routeri(config-if)#ipv6é eigrp 10 

(13) 要 启用 OSPFv3， 可 使 用 哪个 命令 ? 
A. Routerl(config-if)# ipv6 ospf 10 area 0.0.0.0 
B. Routerl(config-if)#ipv6 router rip 1 
C. Routerl(config)# ipv6 router eigrp 10 
D. Routerl(config-rtr)#no shutdown 
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E. Routerl(config-if)#ospf ipv6 10 area 0 
(14) 下 面 哪 两 种 有 关 IPv6 地 址 的 说 法 是 正确 的 ? 

A. 前 导 零 不 能 省 路 

B. 可 使 用 两 个 冒号 (:: ) 代替 相连 的 全 零 字段 

C. 使 用 两 个 冒 导 〈:: ) 分 隔 各 个 字段 

D. 可 给 同一 个 接口 分 配 多 个 不 同类 型 的 IPv6 地 址 
(15) 下 面 哪 两 种 有 关 IPv4 和 IPv6 地 址 的 说 法 是 正确 的 ? 


A. IPv6 地 址 长 32 位 ， 用 十 六 进 制 表示 B. IPv6 地 址 长 128 位 ， 用 十 进 制 表示 

C. IPv4 地 址 长 32 位 ， 用 十 进 制 表示 D. IPv6 地 址 长 128 位 ， 用 十 六 进 制 表示 
(16) 下 面 哪 种 有 关 IPv6 的 说 法 是 正确 的 ? 

A. 地 址 是 层次 结构 的 ， 且 随机 分 配 B. 淘汰 了 广播 ， 取 而 代 之 的 是 组 播 

C. 提供 了 27 亿 个 地 址 D. 每 个 接口 只 能 配置 一 个 IPv6 地 址 
(17) 在 IPv6 地 址 中 ， 每 个 字段 长 多 少 位 ? 

A.24 B.4 C.3 D.16 

E. 32 F. 128 
(18) 下 面 哪 两 项 正确 地 描述 了 IPv6 单 播 地 址 的 特征 ? 

A. 全 局 地 址 以 2000::/3 打头 B. 链 路 本 地 地 址 以 FF00::/10 打头 

C. 链 路 本 地 地 址 以 FE00::/12 打头 D. 只 有 一 个 环 回 地 址 ， 那 就 是 ::1 


(19) 下 面 哪 两 种 有 关 IPv6 地 址 的 说 法 是 正确 的 ? 
A. 前 64 位 是 动态 创建 的 接口 ID 
B. 可 给 同一 个 接口 分 配 多 个 不 同类 型 的 IPv6 地 址 
C. 每 个 IPv6 接口 至 少 有 一 个 环 回 地 址 
D. IPv6 地 址 字段 中 的 前 导 零 不 能 省 略 
(20) 下 面 哪 3 项 是 迁移 到 IPv6 的 机 制 ? 
A. 6to4 隧道 B. GRE 隧道 C. ISATAP 隧道 D. Teredo 隧道 
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(1) B。 不 同 于 单 播 地 址 ， 全 局 单 播 地 址 是 可 路 由 的 。 
(2) A。 将 单 播 地 址 用 作 目 标 地 址 的 分 组 被 传输 到 一 个 接口 。 为 均衡 负载 ， 可 将 同一 个 地 址 分 配给 多 个 


接口 。 


(3) 链 路 本 地 地 址 允许 你 为 召开 会 议 而 组 建 临 时 LAN ， 或 创建 小 型 LAN， 这 些 LAN 不 与 因特网 相连 ， 


但 需要 在 本 地 共享 文件 和 服务 。 


(4) 与 链 路 本 地 地 址 一 样 ,这 些 地 址 也 是 不 可 路 由 的 , 但 也 是 全 局 唯一 的 ， 因 此 不 太 可 能 重复 使 用 。 唯 


一 的 本 地 地 址 设计 用 于 替代 场 点 本 地 地 址 。 


(5) 与 IPv4 中 一 样 ， 将 组 播 地址 用 作 目 标 地 址 的 分 组 将 被 传输 到 该 地 址 标识 的 所 有 接口 。 这 种 地 址 也 


被 称 为 一 对 多 地 址 。IPv6 组 播 地 址 很 容易 识别 ， 因 为 它们 总 是 以 FF 打头 。 


(6) 与 组 播 地 址 类 似 ,任意 播 地 址 也 标识 多 个 接口 , 但 有 一 个 很 大 的 差别 : 任意 播 分 组 只 被 传输 到 一 个 


接口 一 一 根据 路 由 选择 距离 确定 的 最 近 接 口 。 这 种 地 址 也 被 称 为 一 对 多 个 之 一 地 址 。 


(7) IPv4 环 回 地 址 为 127.0.0.1， 而 IPv6 环 回 地 址 为 ::1。 
(8) C 和 D。 邻 接 关系 和 下 一 跳 属性 是 使 用 链 路 本 地 地 址 指定 的 ，OSPFv3 也 使 用 组 播 来 发 送 更 新 和 确 


556 第 15 章 IPv6 


认 : 用 组 播 地址 FF02::5 表示 OSPF 路 由 器 , 用 组 播 地 址 FF02::6 表示 OSPF 指定 路 由 器 。 在 OSPFv2 中 , 与 
这 些 组 播 地 址 对 应 的 分 别 是 224.0.0.5 和 224.0.0.6。 

(9) B。RIPng 使 用 IPv6 组 播 地 址 FF02::9。 如 果 还 记得 IPv4 RIP 使 用 的 组 播 地 址 ， 你 会 发 现 最 后 一 个 
数字 相同 。 

(10) A。EIGRPv6 使 用 的 组 播 地 址 的 最 后 一 个 数字 没 变 。 在 IPv4 中 , 使 用 的 组 播 地 址 为 224.0.0.10, 而 
在 JIPv6 中 ， 为 FF02::A(A 是 10 的 十 六 进 制 表示 ) 。 

(11) B。 启 用 RIPng 很 容易 ， 只 需 在 要 启用 RIPng 的 接口 上 配置 命令 ipv6 rip number 即 可 。 

(12) C、D 和 E。 不 同 于 RIPng 和 OSPFv3， 需 要 在 全 局 配置 模式 、 路 由 器 配置 模式 和 接口 配置 模式 下 
配置 EIGRP， 并 在 路 由 器 配置 模式 下 使 用 命令 no shutdown 启用 该 协议 。 

(13) A。 像 RIPng 一 样 ， 要 启用 OSPFv3 ， 只 需 在 接口 级 启用 它 即 可 ， 命 令 为 ipv6 ospf process-id 
area area-id。 

(14) B 和 D。 为 简化 IPv6 地 址 ， 可 用 两 个 冒号 替换 相连 的 全 零 字 段 ; 为 进一步 缩短 地 址 ， 可 省 略 前 导 
零 。 与 IPv4 一 样 ， 可 给 同一 个 接口 配置 多 个 地 址 ; IPv6 地 址 类 型 更 多 ， 但 该 规则 也 适用 。 可 给 同一 个 接口 
配置 链 路 本 地 地 址 、 全 局 单 播 地 址 、 组 播 地 址 和 任意 播 地 址 。 

(15) C 和 D。IPv4 地 址 长 32 位 ， 用 十 进 制 表 示 ， 而 IPv6 地 址 长 128 位 ， 用 十 六 进 制 表示 。 

(16) B。IPv6 没有 广播 ， 而 使 用 单 播 、 组 播 、 任 意 播 、 全 局 单 播 和 链 路 本 地 单 播 。 

(17) D。 在 IPv6 地 址 中 ， 每 个 字段 长 16 位 《4 个 十 六 进 制 字符 ) 。 

(18) A 和 D。 全 局 地 址 以 2000::/3 打头 ; 链 路 本 地 地 址 以 FE80::/10 打头 ; 环 回 地 址 为 ::1; 而 未 指定 的 
地 址 为 两 个 冒号 〈:: ) 。 每 个 接口 都 将 自动 配置 一 个 环 回 地 址 。 

(19) B 和 C。 如 果 查 看 主机 的 PP 配置， 你 会 发 现 有 多 个 IPv6 地 址 ， 其 中 包括 一 个 环 回 地 址 。 最 后 64 
位 是 动态 创建 的 接口 ID。 在 IPv6 地 址 中 ， 每 个 16 位 字段 的 前 导 零 可 省 略 。 

(20) A、C 和 D。6to4、ISATAP ( 双 栈 ) 和 Teredo 都 是 用 于 迁移 到 IPv6 的 隧道 机 制 。 
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(1) 单 播 (2) 全 局 单 播 地 址 (3) 链 路 本 地 地 址 
(4) 唯一 的 本 地 地 址 ( 以 前 叫 场 点 本 地 地 址 ) (5) 组 播 地 址 
(6) 任意 播 地 址 (7) OSPFv3 (8) ::1 


(9) FE80::/10 (10) FC00::/7 


本 章 涵盖 如 下 CCNA 考试 要 点 。 

v 实现 和 验证 WAN 链 路 

口 描述 各 种 连接 到 WAN 的 方法 ; 

口 配置 和 验证 基本 的 WAN 串 行 连接 ; 

口 在 思科 路 由 器 上 配置 和 验证 帧 中 继 ; 

口 排除 WAN 故障 ; 

口 描述 VPN 技术 ， 包 括 重要 性 、 优 点 、 作 用 、 影 响 和 组 件 ; 

口 在 思科 路 由 器 之 间 配 置 和 验证 PPP 连接 。 

v 描述 网 络 的 工作 原理 

口 描述 LAN 和 WAN 在 工作 原理 和 功能 方面 的 差别 。 

思科 IOS 支持 大 量 的 广域网 (WAN ) 协议 ， 让 你 能 够 将 本 地 的 LAN 连接 到 远程 场 点 的 LAN。 不 
用 我 说 你 也 知道 ， 当 今 不 同 场 点 进行 信息 交换 有 多 重要 ! 但 即便 如 此 ， 如 果 自 己 铺设 电缆 ， 将 公司 的 
所 有 远程 场 点 连接 起 来 ,也 是 很 不 合算 的 。 一 种 好 得 多 的 解决 方案 是 租用 服务 提供 商铺 设 好 的 基础 设 
施 ， 这 将 节省 大 量 时 间 。 

因此 ， 本 章 将 讨论 用 于 WAN 的 各 种 连接 、 技 术 和 设备 ， 还 将 介绍 如 何 实 现 和 配置 高 级 数据 链 路 
控制 (HDLC )、 点 到 点 协议 (PPP ) 和 帧 中 继 。 笔 者 将 介绍 以 太 网 点 到 点 协议 (Point-to-Point Protocol 
over Ethernet，PPPoE )、 有 线 电 视 、DSL、 多 协议 标签 交换 ( MPLS )、 城 域 以 太 网 ( MetorEthernet )、 
最 后 一 公里 和 长 距离 以 太 网 等 WAN 技术 ， 还 将 介绍 WAN 安全 、 隧 道 技术 以 及 虚拟 专 网 等 方面 的 基 
本 知识 。 

需要 指出 的 是 ， 本 章 不 会 全 面 介绍 思科 提供 的 每 种 WAN 支持 ， 因 为 本 书 的 重点 是 确保 大 家 掌握 
通过 CCNA 考试 所 需 的 知识 。 因 此 ,本 章 的 重点 是 有 线 电视 、DSL、HDLC、PPP、PPPoE 、 城 域 以 太 
网 、MPLS 和 帧 中 继 ; 在 本 章 末 尾 ， 我 们 还 将 详细 介绍 VPN。 

重要 的 事先 做 ， 下 面 首 先 探 索 WAN 基本 知识 。 


< 有 关 本 章 的 最 新 修订 ， 请 访问 www.lammle.com 或 www.sybex.comy/go/ccna7e。 
注意 


16.1 广域网 简介 
广域网 (WAN ) 和 局 域 网 (LAN ) 的 本 质 区 别 何在 呢 ? 显而易见 的 是 距离 ， 但 当今 的 无 线 LAN 
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覆盖 的 范围 也 很 大 。 那么 带宽 呢 ? 同样， 只 要 资金 充足 ， 在 很 多 地 方 都 可 部 署 高 带宽 电缆 ， 因 此 带宽 
也 不 是 。 那 么 到 底 是 什么 呢 ? 

WAN 不 同 于 LAN 的 主要 地 方 之 一 是 ，LAN 基础 设施 通常 归 个 人 所 有 ， 而 WAN 基础 设施 通常 是 
从 服务 提供 商 那里 租 来 的 。 坦 率 地 说 ， 新 技术 使 这 种 差别 也 变 得 模糊 起 来 ， 但 在 思科 考试 中 ， 这 种 说 
法 是 完全 可 行 的 。 

本 书 前 面 介绍 了 通常 归 个 人 所 有 的 数据 链 路 (以太 网 )， 这 里 将 介绍 通常 不 归 个 人 所 有 的 数据 链 
路 ， 最 常见 的 是 从 服务 提供 商 那里 租 来 的 数据 链 路 。 

要 理解 WAN 技术 ,关键 在 于 熟悉 各 种 WAN 术语 以 及 服务 提供 商用 来 将 LAN 连接 起 来 的 常见 连 
接 类 型 。 


16.1.1 定义 WAN 术语 


从 服务 提供 商 那里 订购 WAN 服务 前 ， 最 好 明白 服务 提供 商 常用 的 如 下 术语 ， 图 16-1 显示 了 这 些 
术语 : 

口 用 户 室内 设备 《Customer Premises Equipment，CPE) 这 种 设备 通常 归 用 户 所 有 (但 并 
非 总 是 如 此 )， 位 于 用 户 室 内 。 

口 分 界 点 〈Demarcation point) ”分界 点 明确 地 指出 了 服务 提供 商 职责 的 终点 和 用 户 职责 的 起 
点 。 它 通常 是 电信 室内 的 一 台 设 备 ， 归 电信 公司 所 有 并 由 其 安装 。 从 该 设备 到 CPE 的 电缆 连 
接 通 常 由 用 户 负 责 管理 ， 一 般 是 到 CSU/DSU 或 ISDN 接口 的 连接 。 

口 本 地 环 路 ”本 地 环 路 将 分 界 点 连接 到 最 近 的 交换 局 ( 中 心 局 )。 

口 中 心 局 CO) 将 客户 的 网 络 连接 到 提供 商 的 交换 网 络 。 需 要 知道 的 是 ， 中 心 局 有 时 也 被 
称 为 出 现 点 (Point of Presence，POP )。 

口 长 途 通信 网 (toll network) ”这 是 WAN 提供 商 网 络 中 的 中 继 线 ， 包 含 大 量 归 ISP 所 有 的 交 
换 机 和 设备 。 

一 定 要 熟悉 这 些 术语 , 知道 它们 表示 什么 及 其 在 图 16-1 中 的 位 置 , 这 对 理解 WAN 技术 至 关 重要 。 


EE 本 地 环 路 CPE 外 5 
nt, | Vf | 


OO- E 


分 界 点 


CO 


16-1 WAN 术语 


16.1.2 ”WAN 连接 的 带宽 


有 一 些 基 本 的 带宽 术语 ， 用 于 描述 WAN 连接 。 
D DSO (Digital Signal 0) ”这 是 基本 的 数字 信 令 速率 ( 64 Kbit/s )， 相 当 于 一 个 信道 。DS0 在 
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欧洲 和 日 本 分 别 用 E0 和 J0 表示 。 在 TIT 载波 传输 中 ， 多 个 多 路 复 用 的 数字 载波 系统 都 使 用 这 
个 通用 术语 。 这 是 容量 最 小 的 数字 电路 ，1 DS0 相当 于 一 条 语音 /数据 线路 。 

口 T1 也 叫 DS1， 它 将 24 条 DS0 电路 捆绑 在 一 起 ， 总 带宽 为 1.544 Mbit/s。 

口 E1 相当 于 欧洲 的 TL1， 包 含 30 条 捆绑 在 一 起 的 DS0 电路 ， 总 带宽 为 2.048 Mbit/s。 

口 T3 也 叫 DS3, 将 28 条 DS1 (或 672 条 DS0 ) 电路 捆绑 在 一 起 ， 总 带宽 为 44.736 Mbit/s。 


口 0C-3 光 载 波 3， 使 用 光纤 ， 由 3 条 捆绑 在 一 起 的 DS3 组 成 ， 包 含 2016 条 DS0， 总 带宽 为 . 


155.52 Mbit/s。 

口 OC-12 光 载 波 12， 由 4 条 捆绑 在 一 起 的 OC-3 组 成 ,包含 8064 条 DS0， 总 带宽 为 622.08 
Mbit/s。 

口 0C-48 光 载 波 48， 由 4 条 捆绑 在 一 起 的 OC-12 组 成 ， 包 含 32 256 条 DS0， 总 带宽 为 
2488.32 Mbit/s。 


16.1.3 ”WAN 连接 类 型 


大 家 可 能 知道 , WAN 可 使 用 很 多 类 型 的 连接 , 这 里 将 简要 介绍 可 在 市 面 上 找到 的 各 种 WAN 连接 。 
图 16-2 列举 了 可 用 于 通过 DCE 网 络 将 LAN ( DTE ) 连接 起 来 的 各 种 WAN 连接 。 

对 这 些 WAN 连接 类 型 解释 如 下 。 

口 专用 线 ”通常 被 称 为 点 到 点 连接 或 专用 连接 。 专 用 线 是 预先 建立 好 的 WAN 通信 路 径 ， 它 始 
于 CPE， 穿 越 DCE 交换 机 ， 终 止 于 远程 场 点 的 CPE。CPE 让 DTE 网 络 能 够 随时 通信 ， 无 需 
在 传输 数据 前 经 历 麻烦 的 建立 过 程 。 如 果 资 金 充 足 ， 这 是 不 错 的 选择 ， 因 为 它 使 用 同步 串 行 
线路 ， 速 度 可 高 达 45 Mbitys。 在 专用 线 上 ， 经 常 使 用 HDLC 和 PPP 封装， 后 面 将 详细 介绍 这 
些 封装 。 

口 电路 交换 “ 听 到 术语 电路 交换 时 ， 可 想 想 电 话 。 它 最 大 的 优点 是 费用 低 一 一 大 多 数 POTS 和 
ISDN 拨号 连接 的 费用 都 是 统一 的 。 在 传输 数据 前 ， 必 须 建 立 端 到 端 连 接 。 电 路 交换 使 用 拨 
号 调制 解 调 器 或 ISDN， 适用 于 低 带 宽 数据 传输 。 你 可 能 会 说 ， 调 制 解 调 器 只 能 在 博物 馆 找 
到 了 ! 有 了 无 线 技术 后 ， 谁 还 会 使 用 调制 解 调 器 呢 ? 确实 还 有 人 使 用 ISDN， 调 制 解 调 器 也 
有 其 用 武之 地 (有 人 确实 会 时 不 时 地 使 用 调制 解 调 器 )， 而 且 电 路 交换 可 用 于 一 些 较 新 的 
WAN 技术 。 

口 分 组 交换 这 种 WAN 技术 人 允许 你 与 其 他 公司 共享 带宽 ， 从 而 节省 费用 。 可 将 分 组 交换 视 为 
这 样 的 网 络 ， 即 它 类 似 于 专用 线 ， 但 费用 与 电路 交换 相当 。 然 而 ， 费 用 低 有 时 候 可 能 不 是 什 
么 好 事 一 一 它 存 在 显而易见 的 缺点 。 如 果 经 常 传输 数据 ， 就 不 要 考虑 这 种 方案 了 ， 而 应 选择 
专用 线 。 仅 当 偶尔 〈 而 不 是 经 常 ) 传输 数据 时 ,分 组 交换 才 适 用 。 帧 中 继 和 X.25 都 使 用 分 组 
交换 技术 ， 速 度 从 56 Kbit/s 到 T3 ( 45 Mbit/s ) 不 等 。 


多 协议 标签 交换 (MPLS ) 结合 使 用 了 电路 交换 和 分 组 交换 ,但 不 在 本 书 的 讨论 
注意 ”范围 之 内 。 虽 然 如 此 ， 等 你 通过 CCNA 考试 后 ， 应 该 花 点 时 间 去 研究 一 下 MPLS， 
这 绝对 值得 ， 稍 后 我 会 简要 地 介绍 MPLS。 
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同步 串 行 线 
om 人 ~、 


Eh hie 人 


电路 交换 


同步 串 行 线 


分 组 交换 二 一 服务 提供 商 一 = 一 | “二 
图 16-2 WAN 连接 类 型 


16.1.4 ”对 WAN 的 支持 


基本 上 ， 思 科 只 在 串 行 接口 上 支持 HDLC、PPP 和 帧 中 继 ， 要 证 明 这 一 点 ， 可 在 串 行 接口 上 执行 
命令 encapsulation ? (其 输出 可 能 随 IOS 版 本 而 异 ): 

Corp#config t 

Corp(config)#int s0/0/0 

Corp(config-if)#encapsulation ? 


atm-dxi ATM-DXI encapsulation 

frame-relay Frame Relay networks 

hdlc Serial HDLC synchronous 

japb LAPB (X.25 Level 2) 

ppp Point-to-Point protoco] 

smds Switched Megabit Data Service (SMDS) 
x25 X.25 


如 果 路 由 器 有 其 他 类 型 的 接口 ， 则 可 使 用 其 他 的 封装 方法 ; 另外 ,请 记 住 ， 在 串 行 接口 上 不 能 配 
置 以 太 网 封装 。 

下 面 介 绍 当前 最 广为人知 的 WAN 协议 : 帧 中 继 、ISDN、LAPB、LAPD、HDLC、PPP、PPPoE、 
有 线 电视 、DSL、MPLS 和 ATM。 需 要 指出 的 是 ， 在 串 行 接口 上 通常 只 配置 HDLC、PPP 和 帧 中 继 ， 
但 谁 说 只 能 使 用 串 行 接口 连接 到 广域网 呢 ? 串 行 连接 用 得 越 来 越 少 了 ， 因 为 相对 于 到 ISP 的 快速 以 太 
网 连接 ， 其 可 扩展 性 不 佳 ， 且 成 本 效率 不 高 。 
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ion eee 


在 本 章 余 下 的 篇 幅 中 ， 将 深入 阅 述 有 线 电视 、DSL 和 基本 WAN 协议 的 功能 原 

注意 ” 理 , 以 及 如 何在 思科 路 由 器 上 配置 它们 。 但 鉴于 ISDN、LAPB、LAPD、MPLS、ATM 
和 DWDM 等 的 重要 性 (虽然 它们 不 在 CCNA 考试 范围 之 内 )， 将 简要 地 介绍 它们 。 
如 果 CCNA 考试 大 岗 修改 后 ， 涵 盖 了 这 些 技术 ， 请 不 要 担心 ， 我 将 迅速 在 
www.lammle.com 提供 这 方面 的 最 新 信息 。 


口 帧 中 继 ”20 世纪 90 年 代 初 面世 的 一 种 分 组 交换 技术 。 帧 中 继 是 一 种 高 性 能 的 数据 链 路 层 和 
物理 层 规范 , 在 很 大 程度 上 可 以 说 它 是 X.25 的 继任 , 但 删除 了 X.25 中 大 部 分 用 于 补偿 物理 错 
误 的 技术 。 帧 中 继 的 优点 之 一 是 ,成 本 效率 比 点 到 点 链 路 高 , 且 速度 为 64Kbit/s ~45Mbit/s& T3 )。 
帧 中 继 的 另 一 个 优点 是 ， 提 供 了 动态 带宽 分 配 和 拥塞 控制 功能 。 

口 ISDN 综合 业务 数字 网 (ISDN ) 是 一 系列 通过 电话 线 传输 语音 和 数据 的 数字 服务 ， 为 需要 
高 速 连接 (模拟 POTS 拨号 链 路 无 法 满足 这 种 需求 ) 的 偏远 用 户 提供 了 合算 的 解决 方案 , 还 适 
合用 作 其 他 链 路 ( 如 帧 中 继 或 Tl 连接 ) 的 备用 链 路 。 

口 LAPB 平衡 式 链 路 接 入 过 程 (LAPB ) 是 一 种 面向 连接 的 数据 链 路 层 协议 ， 用 于 X.25, 但 
也 可 用 于 简单 的 数据 链 路 传输 。LAPB 的 缺点 之 一 是 , 由 于 其 严格 的 超时 时 间 以 及 使 用 的 窗口 
技术 ， 开 销 通常 很 大 。 

口 LAPD DD 信道 链 路 接 入 过 程 (LAPD ) 用 于 ISDN， 充 当 D ( 信 令 ) 信道 的 数据 链 路 层 (第 
2 层 ) 协 议 。 LAPD 是 平衡 式 链 路 接 人 过 程 (LAPB ) 演变 而 来 的 , 设计 它 主要 是 为 了 满足 ISDN 
基带 接 入 的 信 令 需求 。 

口 HDLC 高 级 数据 链 路 控制 (HDLC ) 是 从 同步 数据 链 路 控制 (SDLC ) 演变 而 来 的 ， 是 由 
IBM 开发 的 一 种 数据 链 路 连接 协议 。 HDLC 运行 在 数据 链 路 层 , 相 比 于 LAPB, 其 开销 非常 小 。 
开发 HDLC 并 非 要 通过 同一 条 链 路 传输 多 种 网 络 层 协 议 分 组 一 一 HDLC 报头 没有 包含 任何 有 
关 HDLC 封装 传输 的 协议 类 型 的 信息 。 因 此 ， 每 家 使 用 HDLC 的 厂商 都 以 自己 的 方式 标识 网 
络 层 协 议 ， 这 意味 着 每 家 厂商 的 HDLC 都 是 专用 的 ， 只 能 用 于 其 生产 的 设备 。 

口 PPP 点 到 点 协议 (PPP ) 是 一 种 著名 的 行业 标准 协议 。 鉴 于 所 有 HDLC 的 多 协议 版 本 都 是 
专用 的 ， 可 使 用 PPP 在 不 同 厂商 的 设备 之 间 建 立 点 到 点 链 路 。PPP 的 数据 链 路 报头 中 包含 一 
个 网 络 控制 协议 字段 ， 用 于 标识 传输 的 网 络 层 协议 ; 它 还 支持 身份 验证 以 及 通过 同步 和 异步 
链 路 建立 多 链 路 连接 。 

口 PPPoE 以 太 网 点 到 点 协议 (PPPoE ) 将 PPP 帧 封装 到 以 太 网 帧 中 ， 通 常 与 xDSL 服务 结合 
使 用 。 它 提供 了 大 量 类 似 于 PPP 的 功能 ， 如 身份 验证 、 加 密 和 压缩 ， 但 也 存在 一 个 缺点 ， 那 
就 是 最 大 传输 单元 《MTU ) 比 标准 以 太 网 低 ， 如 果 防 火 墙 配置 不 佳 ， 这 可 能 带 来 麻烦 。 

PPPoE 自前 在 美国 仍 很 流行 ， 其 主要 特征 是 ， 可 直接 连接 以 太 网 接口 ， 同 时 支持 DSL。 
当 很 多 主机 与 同一 个 以 太 网 接口 相连 时 ， 可 利用 它 通 过 桥接 调制 解 调 器 建立 到 多 个 目的 地 的 
开放 PPP 会 话 。 

口 有 线 电视 在 现代 的 混合 光纤 同 轴 (HFC ) 网 络 中 ， 每 个 有 线 电视 网 段 通常 有 $00 一 2000 位 
活动 的 数据 用 户 ， 他 们 共享 上 行 和 下 行 带宽 。HFC 是 一 个 电信 术语 ， 指 的 是 混合 使 用 光纤 和 同 
轴 电 缆 组 建 的 宽带 网 络 。 通 过 有 线 电视 ( CATV ) 电缆 连接 到 因特网 时 ， 用 户 的 下 载 速 度 最 高 可 
达 27 Mbits， 而 上 传 速度 最 高 可 达 2.5 Mbits。 通 常情 况 下 ， 用 户 的 接 人 速度 为 256 Mbit/s~6 
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Mbit/s， 但 在 美国 ， 接 入 速度 随地 区 差别 很 大 。 

口 DSL 数字 用 户 线 (DSL ) 是 传统 电话 公司 使 用 的 一 种 技术 ， 通 过 铜 质 双 绞 电话 线 提供 高 级 
服务 ( 高 速 数据 ， 有 时 还 有 视频 )。 其 数据 传输 容量 通常 低 于 HFC 网 络 ,而 数据 传输 速度 还 受 
电话 线 的 长 度 和 质量 的 影响 。 数 字 用 户 线 不 是 完全 的 端 到 端 解决 方案 ， 而 与 拨号 、 有 线 电 视 
和 无 线 一 样 ， 是 一 种 物理 层 传 输 技 术 。DSL 连接 用 于 本 地 电话 网 络 的 最 后 一 公里 ， 即 本 地 环 
路 。 这 种 连接 是 在 一 对 DSL 调制 解 调 器 之 间 建 立 的 ,这 两 个 DSL 调制 解 调 器 分 别 位 于 铜 质 电 
话 线 的 两 端 , 而 铜 质 电 话 线 位 于 用 户 室内 设备 ( CPE ) 和 数字 用 户 线 接 人 多 路 复 用 器 (DSLAM ) 
之 间 。DSLAM 是 一 种 位 于 提供 商 中心 局 (CO ) 的 设备 , 负责 聚集 来 自 多 个 DSL 用 户 的 连接 。 

口 MPLS 多 协议 标签 交换 ( MPLS ) 是 一 种 通过 分 组 交换 网 络 传输 数据 的 机 制 ， 具 有 电路 交 
换 网 络 的 一 些 特征 。MPLS 是 一 种 交换 机 制 ， 它 给 分 组 加 上 标签 (数字 )， 并 使 用 这 些 标 签 来 
转发 分 组 。 标 签 是 在 MPLS 网 络 边缘 加 上 的 ， 而 在 MPLS 网 络 内 部 ， 转 发 完全 是 根据 标签 进 
行 的 。 标 签 通常 对 应 于 一 条 到 第 3 层 目 标 地 址 的 路 径 ( 相当 于 基于 目标 了 瑟 地 址 的 路 由 选择 )。 
除 TCP/IP 外 ，MPLS 还 可 转发 其 他 协议 分 组 ， 因 此 ， 在 网 络 内 部 ， 无 论 第 3 层 协 议 是 什么 ， 
标签 交换 过 程 都 相同 ,在 大 型 网 络 中 ,MPLS 的 结果 是 只 有 边缘 路 由 器 需要 执行 路 由 选择 查找 ， 
而 所 有 核心 路 由 器 都 根据 标签 对 分 组 进行 转发 ， 这 提高 了 在 服务 提供 商 网 络 中 转发 分 组 的 速 
度 。 当 前 ， 大 多 数 公司 都 在 将 帧 中 继 网 络 替 换 为 MPLS。 

口 ATM 异步 传输 模式 (ATM ) 是 为 传输 对 时 间 敏 感 的 数据 流 开 发 的 ， 可 同时 传输 语音 、 视 
频 和 数据 。ATM 使 用 长 度 固 定 .( 53 B ) 的 信 元 而 不 是 分 组 ， 它 还 使 用 同步 时 钟 ( 外 部 时 钟 ) 
以 提高 数据 传输 速度 。 通 常 ， 现 今 的 帧 中 继 都 是 运行 在 ATM 之 上 的 。 

口 DWDM 密集 波 分 多 路 复 用 (DWDM ) 是 一 种 光纤 技术 ， 使 用 光纤 主干 来 提高 带宽 。 
DWDM 在 同一 根 光纤 链 路 上 以 不 同 的 波长 同时 传输 多 个 信和 号, 从 而 创建 了 一 种 信和 号 沿 光纤 传 
播 的 多 链 路 。 从 理论 上 说 ，1.5 Mbits 链 路 的 容量 可 达 10 Mbits。DWDM 的 优点 之 一 是 ,协议 
和 比特 率 是 独立 的 ， 可 用 于 IP over ATM、SONET 甚至 以 太 网 。 
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介绍 思科 路 由 器 支持 的 主要 串 行 封装 (HDLC、PPP 和 帧 中 继 ) 之 前 ， 先 来 讨论 一 下 广域网 连接 
解决 方案 有 线 电视 调制 解 调 器 和 DSL (包括 ADSL 和 PPPo@E ), 这 将 有 助 于 你 明白 DSL 和 有 线 电视 调 
制 解 调 器 之 间 的 差别 。 
DSL 和 有 线 电 视 调 制 解 调 器 都 是 因特网 接 入 服务 , 它们 有 很 多 相同 之 处 , 但 也 有 一 些 你 必须 明白 
的 本 质 差别 : 
口 速度 大 多 数 人 会 说 ， 接 入 因特网 时 ， 有 线 电 视 电 缆 的 速度 比 DSL 高 ， 但 现实 情况 并 非 总 是 
如 此 。 
口 安全 性 ”DSL 和 有 线 电视 电缆 基于 不 同 的 网 络 安全 模型 ， 直 到 最 近 ， 有 线 电视 电缆 都 是 这 场 
竞争 的 失败 者 。 但 现在 ， 谁 胜 谁 负 已 难以 定夺 ， 因 为 它们 都 提供 了 足够 的 安全 ， 可 满足 大 多 
数 用 户 的 需求 。 这 里 的 “足够 ”是 指 它们 仍 会 存在 一 些 安 全 问题 ， 不 管 ISP 如 何 “ 狭 辩 ”! 
口 普及 程度 ”在 美国 ， 有 线 电视 电缆 无 疑 处 于 领先 位 置 ， 但 DSL 正 迎 头 赶 上 。 
口 客户 满意 度 ”在 美国 ，DSL 的 客户 满意 度 更 高 。 但 是 ， 人 们 也 不 可 能 对 其 ISP 完全 满意 。 
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图 16-3 表明 ， 可 将 调制 解 调 器 直接 连接 到 PC， 也 可 将 其 连接 到 路 由 器 。 通 常 ， 路 由 器 在 与 调制 
解 调 器 相连 的 接口 上 同时 运行 DHCP 和 PPPoE。 世 界 各 地 的 众多 个 人 和 企业 用 户 都 可 使 用 DSL 和 有 
线 电 视 电 缆 ， 但 在 有 些 地 方 ， 只 可 使 用 一 种 ， 甚 至 两 种 都 不 能 用 。 


对 用 户 透明 


以 太 网 
”的 底层 网 络 


始终 在 线 的 语音 、 视 频 和 数据 服务 
图 16-3 ”使 用 有 线 电视 电缆 或 DSL 的 宽带 接 人 


令 人 惊讶 的 是 ，DSL 和 有 线 电视 调制 解 调 器 之 间 的 有 些 差 别 与 技术 毫 无 关系 ， 而 与 ISP 有 关 。 在 
其 他 条 件 相 同 的 情况 下 ， 不 同 提供 商 在 费用 、 可 靠 性 以 及 安装 和 维护 支持 方面 差别 很 大 。 


16.2.1 ”有线 电视 


对 小 型 办 公 室 /家 庭 办 公 室 (SOHO ) 来 说 ， 有 线 电视 是 一 种 非常 合算 的 连接 。 即 使 是 对 大 型 组 织 
来 说 ， 有 线 电视 (和 DSL ) 也 是 备用 链 路 的 不 错 选 择 。 

下 面 介绍 几 个 有 线 电视 网 术语 。 

口 前 端 (headend) ”这 是 接收 、 处 理 和 格式 化 所 有 有 线 电视 信号 的 地 方 ， 然 后 前 端 通过 分 配 
网 传输 这 些 信号 。 

口 分 配 网 (Distribution Network) 这 是 相对 较 小 的 服务 区 域 ， 通 常 包 含 100 一 2000 名 用 户 。 这 
些 网 络 通常 使 用 混合 光纤 同 轴 (HFC ) 架构 ,其 中 光纤 主要 用 于 分 配 网 的 主干 部 分 。 前 端 和 光 
节点 之 间 的 连接 为 光纤 ， 光 节点 将 光 信 和 号 转换 为 射频 ( RF ) 信号 ， 再 通过 同 轴 电 缆 分 发 到 整 


个 服务 区 域 。 
口 电缆 数据 业务 接口 规范 《DOCSIS) 所 有 有 线 电 视 调 制 解 调 器 和 类 似 的 设备 都 必须 遵守 这 个 
标准 。 


图 16-4 说 明了 各 种 网 络 所 处 的 位 置 以 及 如 何在 网 络 示 意图 中 使 用 前 面 介绍 的 术语 。 

问题 是 ，ISP 通常 使 用 光纤 网 络 ， 该 网 络 从 有 线 电视 运营 商 的 主 前 端 (有 时 甚至 是 地 区 性 前 端 ) 
延伸 到 社区 中 心 ， 再 延伸 到 光纤 节点 ， 而 每 个 光纤 节点 为 25 一 2000 (甚至 更 多 ) 的 家 庭 提供 服务 。 请 
不 要 误解 ， 任 何 链 路 都 有 问题 ， 这 里 并 非 要 给 有 线 电 视 挑 刺 ! 
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同 轴 电 缆 服 务 区 


二 一 一 一 一 DOCSIS 标准 一 一 一 一 > 


图 16-4 有 线 电 视 网 和 术语 


还 有 一 个 问题 : 如 果 连 接 的 是 有 线 电视 电缆 , 打开 PC 的 命令 提示 符 窗口 , 输入 ipconfig， 并 查 
看 子 网 掩 码 。 它 很 可 能 是 /20 或 /21， 这 表明 每 条 有 线 电视 网 连接 由 4094 或 2046 位 用 户 共享 ， 这 种 情 
况 不 是 很 妙 。 

当 我 们 说 “有 线 电视 ”时 ， 指 的 是 使 用 同 轴 电 缆 进 行 传输 。 当 前 ，CATV 或 共用 天 线 电视 被 用 作 
一 种 向 用 户 提供 广播 的 有 效 方式 。 有 线 电视 电缆 支持 语音 和 数据 ， 还 可 传输 模拟 和 数字 视频 ， 而 无 需 
支付 太 高 的 费用 。 

普通 有 线 电视 连接 的 最 高 下 载 速度 为 20 Mbit/s， 其 至 更 高 , 但 别 忘 了 ,你 将 与 其 他 所 有 用 户 共享 
带宽 。 好像 这 还 不 够 , 还 有 其 他 影响 速度 的 因素 ,如 超人 负荷 的 Web 服务 器 和 网 络 拥塞 。 但 收发 电子 邮 
件 的 邻居 并 不 会 影响 你 的 上 网 速度 。 那 么 谁 (或 者 说 做 什么 ) 会 影响 呢 ? 如 果 你 经 常 玩 网 络 游 戏 ， 将 
发 现 高 峰 时 段 的 速度 要 慢 得 多 ( 这 对 游戏 中 的 人 物 来 说 可 是 生死 侯 关 的 事 )。 如 果 社 区 中 有 人 上 传 大 
量 数据 ( 如 整个 系列 的 盗版 《星球 大 战 》)， 那 无 疑 会 占据 整 条 连接 的 带宽 ， 导 致 其 他 人 的 浏览 器 速度 
慢 得 像 蜗牛 。 

相 比 于 DSL， 有 线 电视 调制 解 调 器 接 和 人 的 速度 可 能 更 高 ， 也 可 能 更 低 ， 安 装 起 来 可 能 更 容易 ， 也 
可 能 更 难 , 这 取决 于 你 居住 的 地 方 以 及 众多 其 他 因素 。 但 它 可 用 性 更 好 , 且 费 用 稍 低 , 因此 比 起 DSL， 
它 更 胜 一 筹 。 但 不 用 担心 , 如 果 你 居住 的 社区 没有 有 线 电 视 接 入 服务 , 可 使 用 DSL, 什么 都 比 拨号 强 ! 


16.2.2 ”数字 用 户 线 (DSL) 


以 普及 程度 衡量 ， 排 名 第 二 的 是 DSL ( 数字 用 户 线 )， 这 种 技术 使 用 普通 铜 质 电话 线 提供 高 速 数 
据 传输 。 要 使 用 DSL， 需 要 有 电话 线 、DSL 调制 解 调 器 (通常 由 购买 的 服务 提供 )、 以 太 网 网 卡 (或 
有 以 太 网 连接 的 路 由 器 ) 以 及 当地 的 服务 提供 商 。 

缩 略 语 DSL 最 初 指 的 是 数字 用 户 线 环 路 , 但 现在 变 成 了 数字 用 户 线 。 根据 上 行 速度 和 下 行 速度 是 
否 相 同 ，DSL 分 为 两 类 : 

口 对 称 DSL 上 行 速度 和 下 行 速 度 相同 ， 即 对 称 ; 

口 非 对 称 DSL 网 络 两 端的 传输 速度 不 同一 一 下 行 速 度 总 是 更 高 。 

图 16-5 是 一 个 安装 了 xDSL 的 普通 家 庭 用 户 ， 其 中 xDSL 是 一 种 通过 铜 质 电话 线 传输 数据 的 

术语 xDSL 是 众多 DSL 形式 的 统称 ， 这 包括 非 对 称 DSL ( ADSL )、 高 速 DSL ( HDSL )、 速 率 自 
适应 DSL ( RADSL )、 对 称 DSL ( SDSL )、ISDN DSL (IDSL ) 和 超 高 速 DSL (VDSL )。 
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终端 用 户 


国 | 人 
eh 和 
后 一 = 起 以 大 网 Ge 全 | ^IM 

Se | 铜 质 本 地 环 路 


ATU-R 


所 有 类 型 的 DSC 都 是 第 1 层 技 术 
ATU-R = ADSL 传输 单元 - 远程 
ATU-C = ADSL 传输 单元 - 中 心 局 


图 16-5 家庭 用 户 到 中 心 局 的 xDSL 连接 


不 使 用 语音 频段 的 DSL (如 ADSL 和 VDSL ) 可 同时 传输 数据 和 语音 信号 ; 其 他 DSL (如 SDSL 
和 IDSL ) 占用 整个 频段 ， 只 能 传输 数据 。 顺 便 说 一 句 ，DSL 连接 提供 的 数据 服务 让 你 能 够 始终 在 线 。 

DSL 服务 的 速度 随 用 户 离 中 心 局 (CO ) 的 距离 而 异 一 一 越 近 越 好 。 事 实 上 ， 如 果 离 中 心 局 足够 
近 ， 速 度 可 高 达 6.1 Mbit/s。 

1. ADSL 

ADSL 可 同时 传输 语音 和 数据 ， 但 其 下 行 带宽 比 上 行 带宽 高 ， 因 为 居民 用 户 通常 需要 更 多 的 下 行 
带宽 ， 以 方便 下 载 祝 频 、 电 影 和 音乐 以 及 玩 网 络 游戏 、 网 上 冲浪 和 收发 邮件 (有 些 邮 件 的 附件 很 大 )。 
ADSL 的 下 行 速度 为 256 Kbit/s 一 8 Mbitys， 但 上 行 速 度 最 多 只 有 1.5 Mbit/s 左右 。 

普通 老式 电话 服务 (POTS ) 提供 了 一 个 模拟 语音 信道 , 可 在 其 双 绞 电话 线 上 运行 ADSL， 而 不 会 
影响 语音 。 实 际 上 ,根据 使 用 的 ADSL 类 型 ， 这 些 电 话 线 可 能 同时 提供 3 个 (而 不 是 两 个 ) 信道 。 这 
就 是 可 同时 使 用 电话 和 ADSL 连接 ， 而 它们 不 会 相互 影响 的 原因 所 在 。 

DSL 第 1 层 连接 始 于 CPE, 终止 于 DSLAM, 它 通常 将 ATM 用 作 数 据 链 路 层 协 议 。 而 DSLAM 是 
一 台 ATM 交换 机 , 装 有 DSL 接口 卡 (ATU-C )。 数据 经 ADSL 连接 到 达 DSLAM 后 , 将 经 由 一 个 ATM 
网 络 被 交换 到 聚合 路 由 器 这 是 一 台 第 3 层 设 备 ， 用 户 的 IP 连接 终止 于 此 。 

现在 ， 你 已 经 知道 封装 有 多 重要 了 ， 因 此 也 可 能 猜 到 了 ， 要 通过 ATM 和 DSL 连接 传输 卫 分 组 ， 
必须 对 其 进行 封装 。 根 据 用 户 的 接口 类 型 和 服务 提供 商 的 交换 机 ， 共 有 3 种 封装 方法 : 

口 PPPoE 稍 后 我 们 会 更 详细 地 讨论 它 。 

口 RFC 1483 路 由 选择 ”RFC 1483 描述 了 两 种 通过 ATM 网 络 传 输 无 连接 数据 流 的 方法 ， 被 路 
由 协议 和 桥接 协议 。 

口 PPPoA ATM 点 到 点 协议 (Point-to-Point Protocol over ATM ) 用 于 以 AAL5 ( ATM 适 
配 层 5 ) 的 方式 封装 PPP 帧 。 它 通常 用 于 有 线 电视 调制 解 调 器 、DSL 和 ADSL 服务 ， 并 提供 


常见 的 PPP 功能 ， 如 身份 验证 、 加 密 和 压缩 。PPPoA 的 开销 实际 上 比 PPPoE 低 。 
@ PPPoE 


PPPoE 用 于 ADSL 服务 ， 它 将 PPP 帧 封装 到 以 太 网 帧 中 ， 并 使 用 常见 的 PPP 功能 ， 如 身份 验证 、 
加 密 和 压缩 。 但 正如 前 面 说 过 的 ， 如 果 防 火 墙 配置 不 当 ，PPPoE 可 能 带 来 麻烦 。 这 是 一 种 隧道 协议 ， 
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可 封装 运行 在 PPP 之 上 的 IP 和 其 他 协议 ， 具 有 PPP 链 路 的 特性 ， 因 此 可 用 于 连接 其 他 以 太 网 设备 ， 
并 发 起 建立 点 到 点 连接 ， 以 传输 下 分 组 。 

图 16-6 说 明了 PPPoE 典型 用 途 : 用 于 ADSL。 正如 你 看 到 的 ， 图 中 建立 了 一 个 从 PC 到 路 由 器 的 
PPP 会 话 ， 而 PC 的 瑟 地 址 是 由 路 由 器 通过 IPCP 分 配 的 。 

PPPoE 让 基于 PPP 的 自 定 义 软件 能 够 处 理 使 用 非 串 行 线路 的 连接 , 从 而 可 以 用 于 面向 分 组 的 网 络 
环境 , 如 以 太 网 。 它 还 可 在 用 户 建立 因特网 连接 时 要 求 他 输入 用 户 名 和 密码 ,以便 计 费 。 另外, PPPoE 
连接 建立 后 才 给 用 户 分 配 IP 地 址 ， 并 在 连接 断 开 后 收回 ， 这 样 可 以 动态 地 重用 中 地址 。 


ISP/Corp 
路 由 器 
2 一 
有 
得 Po 
"> 


[a 


CPE DSLAM 
(桥接 ) 


PADI 

PADO 
PADR 

PADS (会 话 ID) 
LCP/IPCP 


图 16-6 ”PPPoE 和 ADSL 


PPPoE 包括 发 现 阶段 和 PPP 会 话 阶段 (参见 RFC 2516 )， 其 工作 原理 如 下 : 主机 发 起 建立 PPPoE 
会 话 时 ， 必 须 执 行 发 现 过 程 ， 以 确定 哪 台 服 务 器 最 符合 客户 端的 要 求 。 接 下 来 ， 必 须发 现 对 等 设备 的 
以 太 网 MAC 地 址 ， 并 创建 一 个 PPPoE 会 话 ID。 因 此 ， 虽 然 PPP 定义 的 是 对 等 关系 ， 但 发 现 过 程 采 
用 的 是 客户 端 - 服务 器 关系 。 


EE 


2. 思科 长 距离 以 太 网 《LRE) 

思科 长 距离 以 太 网 解决 方案 利用 了 VDSL ( 超 高 速 数据 用 户 线 ) 技术 ， 引 在 大 幅度 提高 以 太 网 服 
务 的 容量 。LRE 的 成 果 令 人 难忘 : 使 用 现 有 的 双 绞 电话 线 ， 速度 为 $S 一 1SMbits ( 全 双 工 ),， 传输 距离 
高 达 5000 英尺 。 

基本 上 ,思科 LRE 技 术 可 通过 POTS、 数 字 电 话 和 ISDN 线路 提供 宽带 接 入 服务 , 它 还 可 以 与 ADSL 
完全 兼容 的 模式 运行 。 这 种 灵活 性 很 重要 ， 让 服务 提供 商 能 够 在 已 安装 宽带 服务 〈 但 需要 改进 ) 的 大 
楼 内 提供 LRE。 
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16.3 ”上 捉 行 广域网 布线 


可 以 想见 ， 要 连接 到 WAN 并 确保 一 切 运行 正常 ， 还 需 知道 其 他 一 些 东 西 。 首 先 ， 必 须 明 白 思 科 
提供 的 WAN 物理 层 实现 类 型 ， 并 熟悉 涉及 的 各 种 WAN 串 行 连接 。 

幸运 的 是 思科 串 行 连接 几乎 支持 任何 类 型 的 WAN 服务 。 典 型 的 WAN 连接 是 使 用 HDLC、PPP 
和 由 中 继 的 专用 线 ， 速 度 高 达 45 Mbits ( T3 )。 

HDLC、PPP 和 帧 中 继 可 使 用 相同 的 物理 层 规范 , 我 将 介绍 各 种 类 型 的 连接 , 然后 全 面 介 绍 CCNA 
考试 涉及 的 WAN 协议 。 


16.3.1 串 行 传输 


WAN 串 行 连接 使 用 串 行 传输 ， 即 通过 单个 信道 每 次 传输 一 个 比特 。 

较 旧 的 思科 路 由 器 使 用 专用 的 60 针 串 行 接 头 ， 只 能 从 思科 或 思科 设备 提供 商 那里 买 到 。 思 科 还 
有 一 种 新 的 串 行 接头 一 智能 串 行 接头 (smart-serial )， 其 大 小 只 有 60 针 串 行 接头 的 十 分 之 一 。 使 用 
这 种 电缆 接头 前 ， 务 必 核 实 路 由 器 的 接口 类 型 与 之 匹配 。 

在 电缆 的 另 一 端 使 用 的 接头 类 型 取决 于 服务 提供 商 及 其 对 终端 设备 的 要 求 。 下 面 是 几 种 常见 的 

接头 : 

口 EIA/TIA-232; 

口 EIA/TIA-449; 

口 V.35( 用 于 连接 到 CSU/DSU ); 

口 EIA-530。 

请 务必 清楚 下 面 几 点 : 串 行 链 路 用 频率 ( 赫兹 ) 描述 ; 在 该 频率 范围 内 可 传输 的 数据 量 称 为 带宽 ; 
带宽 指 的 是 串 行 信道 每 秒 可 传输 的 数据 量 (单位 为 比特 )。 


16.3.2 ”数据 终端 设备 和 数据 通信 设备 


默认 情况 下 ， 路 由 器 接口 通常 是 数据 终端 设备 (DTE ) ,可 连接 到 数据 通信 设备 ( DCE )， 如 信 
道 服务 单元 /数据 服务 单元 (CSU/DSU )。 而 CSU/DSU 连接 到 分 界 点 一 “服务 提供 商 职责 终止 处 。 在 
大 多 数 情 况 下 ， 分 界 点 是 一 个 位 于 电信 室 的 捅 座 ， 装 有 RT45 (8 针 模 块 ) 母 接头 。 

实际 上 ， 你 可 能 听 说 过 分 界 点 。 如 果 有 向 服务 提供 商 报告 问题 的 “光辉 ”经 历 ， 他 们 通常 会 告诉 
你 ， 经 过 测试 ， 到 分 界 点 的 线路 一 切 正常 ， 因 此 问题 肯定 出 在 CPE ( 用 户 室内 设备 )。 换 名 话说， 这 
是 你 的 问题 ， 不 是 他 们 的 问题 。 

图 16-7 显示 了 网 络 中 一 条 典型 的 DTE-DCE-DTE 连接 以 及 使 用 的 设备 。 

WAN 旨 在 通过 DCE 网 络 将 两 个 DTE 网 络 连接 起 来 .DCE 网 络 由 如 下 部 分 组 成 :两 端的 CSU/DSU 
以 及 它们 之 间 的 提供 商 电缆 和 交换 机 ， 其 中 的 DCE 设备 (CSU/DSU ) 向 连接 到 DTE 的 接口 (路 由 器 
的 串 行 连接 ) 提供 时 钟 。 

前 面 说 过 ，DCE 网 络 (具体 地 说 是 CSU/DSU ) 向 路 由 器 提供 时 钟 。 如 果 组 建 的 是 非 生产 网 络 ， 
使 用 WAN 交叉 电缆 , 且 没 有 CSU/DSU , 在 这 种 情况 下 , 必须 在 电缆 的 DCE 端 使 用 命令 clock rate， 
以 提供 时 钟 ， 这 在 第 6 章 介 绍 过 。 
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DTE 


DCE 


csupsu) ——— [csu/psu] 


通常 由 DCE 网 络 向 路 由 器 提供 时 钟 
在 非 生产 网 络 中 ， 并 非 总 是 有 DCE 网 络 
图 16-7 DTE-DCE-DTE WAN 连接 


诸如 EIA/TIA-232、V35、X.21 和 HSSI ( 高 速 串 行 接口 ) 等 术语 描述 的 是 DTE 
注意 (路 由 器 ) 和 DCE 设备 (CSU/DSU ) 之 间 的 物理 层 。 


16.4 ”高 级 数据 链 路 控制 (HDLC ) 协议 


高 级 数据 链 路 控制 (HDLC ) 协议 是 深 受 欢迎 的 ISO 标准 ， 是 一 种 面向 比特 的 数据 链 路 层 协议 。 
它 指 定 了 一 种 通过 串 行 数据 链 路 传输 数据 的 封装 方法 ， 该 封装 具备 帧 的 特征 ， 并 使 用 校 验 和 。HDLC 
是 一 种 用 于 专用 线 和 ISDN 拨号 连接 的 点 到 点 协议 ， 没 有 提供 身份 验证 功能 。 

在 面向 字 节 的 协议 中 , 控制 信息 是 根据 字 节 生 成 的 ; 而 面向 比特 的 协议 使 用 比特 来 表示 控制 信息 。 
一 些 常见 的 面向 比特 的 协议 包括 SDLC 和 HDLC， 而 TCP 和 了 正 是 面向 字 节 的 协议 。 

思科 路 由 器 对 同步 串 行 链 路 默认 使 用 HDLC 封装 。 而 思科 的 HDLC 实现 是 专用 的 , 不 能 与 其 他 厂 
商 的 HDLC 实现 通信 。 请 不 要 因此 指责 思科 一 一 每 家 厂商 的 HDLC 实现 都 是 专用 的 。 图 16-8 说 明了 
思科 HDLC 帧 的 格式 。 


思科 HDLC 


口 只 支持 单 协议 环境 
16-8 思科 HDLC 帧 的 格式 
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如 图 16-8 所 示 ， 每 家 厂商 的 HDLC 封装 方法 都 是 专用 的 ， 因 为 每 家 厂商 都 会 采用 不 同 的 方式 以 
便 HDLC 协议 能 够 封装 多 种 网 络 层 协议 。 如 果 厂 商 没 有 提供 方式 来 确保 HDLC 与 各 种 不 同 的 第 3 层 协 
议 交 流 ， 它 将 只 能 运行 于 使 用 一 种 第 3 层 协议 的 环境 。 这 种 专用 报头 放 在 HDLC 封装 的 数据 字段 中 。 

假设 你 只 有 一 台 思 科 路 由 器 ， 且 需要 将 其 连接 到 一 台 非 思科 路 由 器 ,该 怎么 办 呢 ? 不 能 使 用 默认 
的 HDLC 串 行 封装 ， 因 为 不 可 行 。 相 反 ， 需 要 使 用 诸如 PPP 等 封装 ， 以 ISO 标准 方式 标识 上 层 协 议 。 
有 关 PPP 标准 及 其 起 源 的 更 详细 信息 ， 请 参阅 RFC 1661。 下 面 更 详细 地 讨论 PPP 以 及 如 何 使 用 PPP 
封装 将 路 由 器 连接 起 来 。 


16.5 点 到 点 协议 (PPP) 


下 面 花 点 时 间 探 讨 点 到 点 协议 ( PPP )。 还 记得 吗 , 它 是 一 种 数据 链 路 层 协议 , 可 用 于 异步 串 行 ( 拨 
号 ) 介质 和 同步 串 行 (ISDN ) 介质 。 它 使 用 链 路 控制 协议 (LCP ) 来 建立 和 维护 数据 链 路 连接 。 借 助 
网 络 控制 协议 (NCP )， 可 在 同一 条 点 到 点 连接 上 使 用 多 种 网 络 层 协议 〈 被 路 由 的 协议 )。 

思科 串 行 链 路 默认 使 用 串 行 封装 HDLC， 且 效果 很 好 。 为 何 要 使 用 PPP 呢 ? 在 什么 情况 下 使 用 
PPP 呢 ? PPP 用 于 通过 数据 链 路 层 点 到 点 链 路 传输 第 3 层 分 组 ， 且 不 是 专用 的 。 因 此 ， 除 非 网 络 中 的 
所 有 路 由 器 都 是 思科 路 由 器 ， 否 则 就 需 在 串 行 接口 上 使 用 PPP 一 一 还 记得 吗 ，HDLC 封装 是 思科 专用 
的 。 另外, PPP 可 封装 多 种 第 3 层 协议 分 组 , 并 提供 身份 验证 、 动 态 编 址 、 回 拨 等 功能 , 是 替代 HDLC 
的 最 佳 封装 解决 方案 。 

图 16-9 说 明了 PPP 协议 栈 与 OSI 参 考 模型 之 间 的 关系 。 

OSI 分 层 


上 层 协 议 (如 IP、IPX、AppleTalk) 


网 络 控制 协议 (NCP) ， 随 网 络 层 协议 而 异 


链 路 控制 协议 (LCP) 


高 级 数据 链 路 控制 《HDLC) 协议 


物理 层 (如 EIA/TIA-232、V.24、V.35、ISDN) 


图 16-9 点 到 点 协议 栈 


PPP 包含 4 个 主要 组 成 部 分 : 

口 EIA/TIA-232-C、V.24、V.35 和 ISDN _” 串 行 通 信 的 物理 层 国际 标准 。 

口 HDLC ”一 种 封装 数据 报 以 便 通过 串 行 链 路 进行 传输 的 方法 。 

口 LCP 一 种 建立 、 配 置 、 维 护 和 拆除 点 到 点 连接 的 方法 。 

口 NCP 一 种 通过 PPP 链 路 传输 不 同 网 络 层 协 议 分 组 的 方法 。 为 支持 多 种 网 络 层 协 议 ， 开 发 了 
针对 不 同 网 络 层 协议 的 NCP, 包括 IPCP (因特网 协议 控制 协议 ) 和 IPXCP ( 网 间 分 组 交换 控 
制 协议 )。 
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请 牢记 ，PPP 协议 栈 只 涉及 物理 层 和 数据 链 路 层 。NCP 用 于 标识 和 封装 网 络 层 协议 ， 人 允许 通过 同 
一 条 PPP 链 路 传输 多 种 网 络 层 协 议 分 组 。 


前 面 说 过 ， 使 用 串 行 连接 将 思科 路 由 器 和 非 思科 路 由 器 连接 起 来 时 ， 必 须 使 用 
提示 ”PPP 或 其 他 封装 方法 (如 帧 中 继 )， 因 为 默认 封装 方法 HDLC 不 可 行 。 


下 面 介绍 LCP 配置 选项 和 PPP 会 话 的 建立 过 程 。 


16.5.1 链 路 控制 协议 ‘LCP〉 配 置 选项 


链 路 控制 协议 (LCP ) 提供 了 以 下 众多 PPP 封装 选项 。 

口 身份 验证 ”该 选项 让 发 起 建立 链 路 的 一 方 发 送 可 证 明 用 户 身份 的 信息 。 有 两 种 身份 验证 方 
法 一 一 PAP 和 CHAP。 

口 压缩 ”传输 前 对 数据 ( 有效 负 载 ) 进行 压缩 ， 以 提高 PPP 连接 的 吞吐 量 。 在 接收 端 ，PPP 对 
数据 帧 进行 解压 缩 。 

口 错误 检测 ”PPP 使 用 质量 (Quality ) 和 神奇 数字 ( Magic Number )， 以 确保 数据 链 路 可 靠 且 
没有 环 路 。 

口 多 链 路 从 IOS 11.1 版 开始 ， 思 科 路 由 器 连接 的 PPP 链 路 就 支持 多 链 路 。 这 个 选项 让 多 条 不 
同 的 物理 路 径 在 第 3 层 看 起 来 是 一 条 逻辑 路 径 。 例 如 , 在 第 3 层 路 由 选择 协议 看 来 , 两 条 运行 
多 链 路 PPP 的 T]1 像 是 一 条 3Mbit/s 的 路 径 。 

口 PPP 回 拨 ”可 对 PPP 进行 配置 ， 使 其 在 通过 身份 验证 后 进行 回 拨 。PPP 回 拨 是 件 好 事 ， 因 为 
这 让 你 能 够 根据 接 入 费用 跟踪 使 用 情况 , 还 有 众多 其 他 的 原因 。 启 用 回 拨 后 , 主 叫 路 由 器 ( 客 
户 端 ) 会 像 前 面 介绍 的 那样 与 远程 路 由 器 ( 服务 器 ) 联系 并 证 明 自 己 的 身份 ; 通过 身份 验证 
后 ， 远 程 路 由 器 将 断 开 连接 ， 并 重新 发 起 建立 到 主 叫 路 由 器 的 连接 ( 需要 指出 的 是 ， 这 要 求 
两 台 路 由 器 都 配置 了 回 拨 功 能 )。 


如 果 主 叫 方 为 微软 设备 ， 别 忘 了 它 使 用 专用 的 回 拨 协 议 一 一 微软 回 拨 控 制 协议 
注意 (〈(CBCP )， 但 IOS 11.3(2)T 和 更 高 的 版 本 都 支持 该 协议 。 


16.5.2 PPP 会 话 的 建立 


发 起 PPP 连接 后 ， 链 路 将 经 过 如 图 16-10 所 示 的 3 个 会 话 建立 阶段 。 

口 链 路 建立 阶段 每 台 PPP 设备 都 发 送 LCP 分 组 ， 以 配置 和 测试 链 路 。 这 些 分 组 包含 一 个 名 为 
配置 选项 ( Configuration Option ) 的 字段 ， 让 设备 能 够 协商 数据 长 度 、 压 缩 方法 和 身份 验证 方 
法 。 如 果 没 有 配置 选项 ， 则 使 用 默认 配置 。 

口 身份 验证 阶段 ”必要 时 ,可 使 用 CHAP 或 PAP 来 验证 身份 。 身 份 验证 是 在 读 取 网 络 层 协议 信 
息 前 进行 的 ， 在 此 期 间 还 可 能 确定 链 路 质量 。 

口 网 络 层 协 议 阶段 PPP 使 用 网 络 控制 协议 (NCP )， 以 封装 多 种 网 络 层 协议 分 组 并 通过 同一 条 
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PPP 数据 链 路 发 送 它们 。 每 种 网 络 层 协议 ( 如 于 、IPX、AppleTalk， 它们 是 被 路 由 的 协议 ) 都 
建立 一 个 到 NCP 的 服务 。 


ee 

(1) 链 路 

(2) 身份 验证 阶段 (可 选 )， 
(3) 网 络 层 协议 阶段 。 


16-10 ”PPP 会 话 建 立 过 程 


16.5.3 PPP 身份 验证 方法 


以 下 两 种 身份 验证 方法 可 用 于 PPP 链 路 。 

口 密码 身份 验证 协议 (PAP) ”在 这 两 种 方法 中 ，PAP 的 安全 性 要 差 些 。PAP 以 明文 方式 发 送 
密码 ， 且 只 在 建立 链 路 时 进行 身份 验证 。 建 立 PPP 链 路 时 ， 远 程 节点 向 始 发 路 由 器 发 送 用 户 
名 和 密码 ， 直 到 身份 验证 得 到 确认 。 这 不 是 特别 安全 ! 

口 挑战 握手 验证 协议 CHAP) “CHAP 在 建立 链 路 时 进行 身份 验证 ， 并 定期 检查 链 路 ， 确 保 路 
由 器 始终 与 同一 台 主 机 通信 。 

PPP 结束 初始 链 路 建立 阶段 后 ， 本 地 路 由 器 向 远程 设备 发 送 挑战 请 求 。 远 程 设备 使 用 单 向 散 列 函 

数 (MD5 ) 进行 计算 ， 并 将 结果 发 回 本 地 路 由 器 。 本 地 路 由 器 检查 该 散 列 值 ， 看 其 与 自己 计算 得 到 的 
值 是否 相 同 。 如 果 不 同 ， 则 立即 断 开 链 路 。 


16.5.4 在 思科 路 由 器 上 配置 PPP 
在 接口 上 配置 PPP 封装 很 容易 。 要 从 CLI 配置 PPP 封装 ， 可 执行 下 述 简单 的 路 由 器 命令 : 


Router#config 七 

Enter configuration commands, one per line. End with CNTL/Z. 

Router(config)#int sO0 

Router(config-if)#encapsulation ppp 

Router(config-if)#^Z 

Router# 

当然 ， 必 须 在 通过 串 行 线路 相连 的 两 个 接口 上 都 启用 PPP 封装 。 另 外 ,还 有 多 个 配置 选项 ， 这 可 
通过 执行 命令 ppp ?获悉 。 


16.5.5 配置 PPP 身份 验证 


配置 串 行 接口 ,使 其 支持 PPP 封装 后 ,可 配置 路 由 器 使 用 的 PPP 身份 验证 。 为 此 , 首先 需要 配置 
路 由 器 的 主机 名 ; 然后 指定 远程 路 由 器 连接 到 本 地 路 由 器 时 使 用 的 用 户 名 和 密码 。 
下 面 是 一 个 例子 : 
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Router#config t 

Enter configuration commands, one per line. End with CNTL/Z. 
Router(config)#hostname RouterA 

RouterA(config)#username RouterB password cisco 


使 用 命令 username 时 , 别 忘 了 用 户 名 是 要 连接 到 本 地 路 由 器 的 远程 路 由 器 的 主机 名 , 它 是 区 分 
大 小 写 的 。 另外 , 两 台 路 由 器 的 密码 必须 相同 。 这 种 密码 是 以 明文 方式 存储 的 , 可 使 用 命令 show run 
查看 ; 也 可 对 密码 进行 加 密 ， 为 此 可 使 用 命令 service password-encryption。 对 于 要 连接 的 每 
个 远程 系统 ， 都 必须 为 其 配置 用 户 名 和 密码 ; 而 在 远程 路 由 器 上 ， 也 必须 以 类 似 的 方式 配置 用 户 名 
和 密码 。 

设置 主机 名 、 用 户 名 和 密码 后 ， 便 可 指定 身份 验证 方法 了 ， 可 以 是 CHAP 或 PAP: 

RouterA#config 七 

Enter configuration commands, one per line, End with CNTL/Z. 

RouterA(config)#int sO 

RouterA(Cconfig-if)#ppp authentication chap pap 

RouterA(Cconfig-iTf)#^Z 

RouterA# 

如 果 同 时 指定 了 两 种 方法 ， 则 在 链 路 协商 期 间 ， 只 使 用 第 一 种 方法 一 一 第 二 种 方法 为 备用 方法 ， 
仅 在 第 一 种 方法 失效 时 才 会 使 用 。 


16.5.6 ”验证 PPP 封装 


配置 PPP 封装 后 ， 下 面 介绍 如 何 验证 它 是 否 运 行 正 常 。 首 先 来 看 一 个 示例 网 络 , 如 图 16-11 所 示 ， 
其 中 的 两 台 路 由 器 通过 点 到 点 串 行 连接 相连 。 


站 rn: “4 
EE ”nl PSTNISDN SO— 衣 苔 -> 
Pod1R1 Pod1R2 

主机 名 Pod1R1 主机 名 Pod1R2 
用 户 名 Pod1R2 密码 cisco 用 户 名 Pod1R1 密码 cisco 
接口 serial 0 接口 serial 0 
IP 地 址 10.0.1.1 255.255.255.0 IP 地 址 10.0.1.2 255.255.255.0 
封装 ppp 封装 ppp 
PPP 身 份 验证 :CHAP PPP 身 份 验证 :CHAP 


图 16-11 PPP 身份 验证 示例 


要 验证 PPP 配置 ， 可 首先 使 用 命令 show interface: 
PodlR1l#sh int s0/0 
Serial0/0 is up, line protocol] is up 
Hardware is PowerQUICC Serial 
Internet address is 10.0.1.1/24 
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, 
reliability 239/255, txload 1/255, rxload 1/255 
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Encapsulation PPP 

Toopback not set 

Keepalive set (10 sec) 

LCP Open 

Open: IPCP, CDPCP 
[output cut] 


在 上 述 输 出 中 ,第 1 行 很 重要 ， 从 中 可 知 接口 serial 0/0 处 于 up/up 状态 。 注 意 到 第 6 行 指 出 封装 
为 PPP, 而 第 8 行 指 出 LCP 处 于 打开 ( open ) 状态 , 这 表明 会 话 已 建立 且 一 切 正常 ! 第 9 行 指 出 , NCP 
在 侦 听 协议 IP 和 CDP。 

但 在 存在 异常 的 情况 下 ， 输 出 将 如 何 呢 ? 为 查看 非 正 常 状 态 下 的 输出 ， 我 使 用 了 如 图 16-12 所 示 
的 配置 。 


~ PSTMISDN 等 
il Sn 

PodlR1 Dd Pod1R2 
主机 名 PodlR1 主机 名 Pod1R2 
用 户 名 Pod1R2 密码 Cisco 用 户 名 Pod1R1 密码 cisco 
接口 serial 0 接口 serial 0 
IP 地 址 10.0.1.1 255.255.255.0 IP 地 址 10.0.1.2 255.255.255.0 
封装 ppp 封装 ppp 
PPP 身 份 验证 :CHAP PPP 身 份 验证 :CHAP 


图 16-12 未 通过 PPP 身份 验证 


上 述 配 置 有 何 问题 呢 ? 请 注意 其 中 的 用 户 名 和 密码 。 发 现 问题 所 在 了 吗 ? 在 路 由 器 Pod1R1 的 配 
置 中 ， 使 用 命令 username 给 Pod1R2 指定 用 户 名 和 密码 时 ， 使 用 了 大 写 的 C。 这 有 问题 ， 因 为 用 户 
名 和 密码 是 区 分 大 小 写 的 ， 还 记得 吗 ? 下 面 来 看 看 命令 show interface 的 输出 : 

PodlR1l#sh int s0/0 

Serial0/0 is up, line protocol is down 

Hardware is PowerQUICC Serial 

Internet address is 10.0.1.1/24 

MTU 1500 bytes，BW 1544 Kbit，DLY 20000 usec， 
reliability 243/255, txload 1/255, rxload 1/255 

Encapsulation PPP, loopback not set 

Keepalive set (10 sec) 

LCP Closed 

Closed: IPCP, CDPCP 

首先 ， 注 意 到 第 1 行 输出 为 Seria10/0 is up，1ine protoco1 is down， 这 是 因为 没有 收 到 
来 自 远 程 路 由 器 的 存活 消息 。 其 次 ， 注 意 到 LCP 处 于 关闭 状态 ， 因 为 没有 通过 身份 验证 。 

1. 调试 PPP 身份 验证 

要 实时 显示 网 络 中 两 台 路 由 器 之 间 的 CHAP 身份 验证 过 程 ， 可 使 用 命令 debug ppp 


authentication。 
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如 果 两 合 路 由 器 的 PPP 封装 和 身份 验证 都 配置 正确 , 且 用 户 名 和 密码 也 没有 问题 ,命令 debug ppp 
authentication 的 输出 将 类 似 于 下 面 这 样 ， 这 被 称 为 三 次 握手 : 

dlL6h: Se0/0 PPP: Using default call direction 

1d16h: Se0/0 PPP: Treating connection as a dedicated line 

1d16h: Se0/0 CHAP: 0 CHALLENGE ;id 219 len 27 from "PodLR1" 

ldl6h: Se0/0 CHAP: I CHALLENGE ;id 208 len 27 from "Pod1R2" 

1d16h: Se0/0 CHAP: 0 RESPONSE id 208 len 27 from "Pod1lR1" 

1ldl6h: Se0/0 CHAP: I RESPONSE id 219 len 27 from "Pod1iR2" 

1d16h: Se0/0 CHAP: 0 SUCCESS id 219 len 4 

1d16h:; Se0/0 CHAP: I SUCCESS id 208 len 4 


但 如 果 密 码 不 正确 (就 像 图 16-12 所 示 的 PPP 身份 验证 失败 的 示例 那样 )， 输 出 将 类 似 于 下 面 
这 样 : 

ldi6h: Se0/0 PPP: Using defau1t call direction 

1d16h: Se0/0 PPP: Treating connection as a dedicated line 

1d16h: %SYS-5-CONFIG_I: Configured from console by console 

1d16h: Se0/0 CHAP: 0 CHALLENGE id 220 1en 27 from "PodlR1" 

1d16h: Se0/0 CHAP: I CHALLENGE id 209 len 27 from "PodLR2" 

1d16h: Se0/0 CHAP: 0 RESPONSE id 209 len 27 from "PodlR1' 

1d16h: Se0/0 CHAP: I RESPONSE id 220 1en 27 from "Pod1lR2" 

1d16h: Se0/0 CHAP: 0 FAILURE id 220 len 25 msg is "MD/DES compare failed" 

使 用 身份 验证 方法 CHAP 时 ，PPP 进行 3 次 握手 ; 如 果 用 户 名 和 密码 配置 得 不 正确 ， 将 无 法 通过 
身份 验证 ， 导 致 链 路 处 于 down 状态 。 

2. WAN 封装 不 一 致 

如 果 在 点 到 点 链 路 两 端 配置 的 封装 不 同 ， 则 该 链 路 根本 不 会 进入 up 状态。 在 图 16-13 中 , 链 路 的 
一 端 配置 的 是 PPP， 而 另 一 端 为 HDLC。 


主机 名 Pod1R1 主机 名 Pod1R2 

用 户 名 Pod1R2 密码 Cisco 用 户 名 PodlR1 密码 cisco 
接口 serial 0 接口 serial 0 

IP 地 址 10.0.1.1 255.255.255.0 IP 地 址 10.0.1.2 255.255.255.0 
封装 ppp 封装 HDLC 


图 16-13 WAN 封装 不 一 致 


路 由 器 Pod1R1 的 输出 如 下 : 

PodlR1i#sh int s0/0 

Serial0/0 is up, line protocol is down 
Hardware is PowerQUICC Serial 
Internet address is 10.0.1.1/24 
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MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, 
reliability 254/255, txload 1/255, rxload 1/255 

Encapsulation PPP, loopback not set 

Keepalive set (10 sec) 

LCP REQsent 

Closed: IPCP, CDPCP . 

串 行 接口 处 于 up/down 状态 ;LCP 发 送 请 求 ， 但 没有 收 到 任何 响应 ， 因 为 路 由 器 Pod1R2 使 用 的 
封装 是 HDLC。 要 修复 这 种 问题 ， 必 须 在 路 由 器 Pod1R2 的 串 行 接口 配置 PPP 封装 。 另 外 ， 虽 然 配置 
了 命令 username ， 但 不 对 。 然 而 ， 这 无 关 紧 要 ， 因 为 在 串 行 接口 的 配置 中 ， 没 有 命令 ppp 
authentication chap。 就 这 个 例子 而 言 ， 命 令 username 不 会 带 来 任何 影响 。 


一 请 牢记 ， 不 能 在 链 路 一 端 使 用 PPP， 而 在 另 一 端 使 用 HDLC 一 一 它们 合 不 来 ! 
注意 


3. IP 地 址 不 匹配 

一 个 难以 发 现 的 问题 是 , 封装 方法 一 致 , 但 给 串 行 接口 配置 的 IP 地 址 不 对 。 在 这 种 情况 下 ,看 起 
来 一 切 正 常 ， 因 为 接口 处 于 up 状态 。 请 看 图 16-14， 看 看 你 是 否 能 够 明白 我 的 意思 一 两 台 路 由 器 连 
接 到 的 子 网 不 同 ，Pod1R1 的 地 址 为 10.0.1.1/24， 而 Pod1R2 的 地 址 为 10.2.1.2/24。 


i pSTN/ISDN yy 一任 1 

Pod1Rl Pod1R2 
主机 名 Pod1R1 主机 名 Pod1R2 
用 户 名 Pod1R2 密码 cisco 用 户 名 Pod1R1 密码 cisco 
接口 serial 0 接口 serial 0 
IP 地 址 10.0.1.1 255.255.255.0 IP 地 址 10.2.1.2 255.255.255.0 
封装 ppp 封装 ppp 
PPP 身 份 验证 :CHAP PPP 身 份 验证 :CHAP 


图 16-14 下 地 址 不 匹配 


这 种 配置 不 管用 。 但 我 们 可 以 看 一 下 输出 : 
Pod1LR1#sh int s0/0 
Serial0/0 is up, line protocol is up 
Hardware is PowerQUICC Serial 
Internet address is 10.0.1.1/24 
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec， 
reliability 255/255, txload 1/255, rxload 1/255 
Encapsulation PPP, loopback not set 
Keepalive set (10 sec) 
LCP Open 
Open: IPCP, CDPCP 
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给 路 由 器 接口 配置 的 人 P 地 址 不 正确 , 但 链 路 看 起 来 正常 。 这 是 因为 PPP 与 HDLC 和 帧 中 继 一 样 ， 
也 是 一 种 第 2 层 WAN 封装 ， 根 本 不 关心 PP 地 址 。 因 此， 链 路 处 于 up 状态 ， 但 无 法 通过 它 传输 卫 分 
组 ， 因 为 IP 地址 配置 错误 。 

要 发 现 并 修复 这 种 问题 ， 可 在 每 台 路 由 器 上 执行 命令 show running-config 或 show 
interfaces， 也 可 执行 第 7 章 介绍 的 命令 show cdp neighbors detai1: 

PodlLRl#sh cdp neighbors detail 


Device ID: PodILR2 
Entry address(es): 
IP address: 10.2.1.2 | 
鉴于 第 1 层 (物理 层 ) 和 第 2 层 (数据 链 路 层 ) 都 处 于 up 状态 , 要 解决 问题 ,必须 查看 并 验证 直 
接 相连 的 邻居 的 IP 地 址 。 


16.6 ” 帧 中 继 


在 过 去 10 年 , 帧 中 继 仍 是 部 署 得 最 多 的 WAN 服务 之 一 ,其 中 一 个 重要 原因 是 成 本 。 成 本 是 一 个 
至 关 重要 的 因素 ,设计 网 络 时 很 少 会 忽视 这 一 点 。 

默认 情况 下 ， 帧 中 继 是 一 种 非 广 播 多 路 访问 (NBMA ) 网 络 ， 这 意味 着 它 不 会 通过 网 络 发 送 任何 
广播 , 如 RIP 更 新 。 请 不 要 担心 ， 稍 后 我 们 会 更 详细 地 介绍 这 一 点 。 

帧 中 继 是 从 X.25 演变 而 来 的 ， 它 几乎 继承 了 X.25 中 与 当今 可 靠 和 相对 “干净 ”的 通信 网 络 相 关 
的 所 有 功能 , 但 删除 了 不 再 需要 的 纠 错 功 能 。 与 前 面 讨论 HDLC 和 PPP 协议 时 介绍 的 简单 专用 线 网 络 
相 比 ， 它 要 复杂 得 多 。 专 用 线 网 络 易于 理解 ， 但 帧 中 继 却 没有 那么 容易 。 帧 中 继 复杂 多 变 得 多 ， 这 就 
是 在 网 络 示意 图 中 经 常用 “ 云 ” 表 示 它 的 原因 所 在 。 稍 后 还 会 介绍 这 个 ， 现 在 先 从 概念 上 简要 地 介绍 
帧 中 继 ， 并 指出 它 与 简单 的 专用 线 技术 有 何不 同 。 

在 介绍 这 种 技术 的 过 程 中 ， 你 会 接触 大 量 新 术语 ， 以 帮助 你 牢固 地 掌握 帧 中 继 基本 知识 。 随 后 ， 
笔者 将 介绍 一 些 简单 的 帧 中 继 实现 。 


16.6.1 帧 中 继 技术 简介 


要 成 为 CCNA， 必须 掌 握 帧 中 继 技术 的 基本 知识 ,并 能 够 在 简单 的 网 络 中 配置 它 。 首 先 需要 指出 
的 是 ， 帧 中 继 是 一 种 分 组 交换 技术 。 根 据 已 学 到 的 知识 ， 这 意味 着 : 

口 不 能 使 用 命令 encapsulation hdlc 或 encapsulation ppp 来 配置 它 ; 

口 帧 中 继 的 工作 原理 不 同 于 点 到 点 线路 (虽然 可 使 其 看 起 来 像 点 到 点 线路 ); 

口 帧 中 继 通 常 比 专用 线 更 便宜 ， 但 需要 为 此 付出 一 些 代价 。 

那么 ， 为 何 还 会 考虑 使 用 帧 中 继 呢 ? 图 16-15 说 明了 帧 中 继 出 现 前 的 网 络 。 

而 图 16-16 是 使 用 帧 中 继 的 网 络 ， 在 帧 中 继 交换 机 和 公司 路 由 器 之 间 只 有 一 条 连接 ， 这 可 节省 大 
量 费用 ! 
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使 用 帧 中 继 可 创建 成 本 效益 极 高 的 全 互联 网 络 
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通过 一 条 物理 连接 
十 去 线 和 ba 提供 多 条 逻辑 电路 gi 
到 每 个 场 点 的 专用 线 虽 i 
$$$ i yD 
图 16-15 巾 中 继 出 现 前 的 网 络 图 16-16 使 用 帧 中 继 的 网 络 


例如 ， 如 果 要 从 公司 总 部 连接 7 个 新 增 的 远程 场 点 ， 但 路 由 器 只 有 一 个 空闲 的 串 行 端口 ， 则 可 使 
用 帧 中 继 来 救 场 ! 当然 , 应 该 指出 的 是 , 这 也 会 导致 单 点 故障 , 不 太 好 。 但 帧 中 继 是 用 来 节省 费用 的 ， 
而 不 是 用 来 提高 网 络 弹性 的 。 

接 下 来 ， 将 介绍 一 些 有 关 帧 中 继 技术 的 知识 ; 要 通过 CCNA 考试 ， 必 须 掌 握 这 些 知 识 。 

1. 承诺 信息 速率 (CIR) 

帧 中 继 将 一 个 分 组 交换 网 络 同 时 提供 给 众多 客户 使 用 。 这 很 好 ， 可 将 购买 交换 机 的 费用 分 摊 到 很 
多 客户 头 上 ， 但 别 忘 了 帧 中 继 基于 这 样 的 假设 ， 即 并 非 所 有 客户 都 需要 不 断 传输 数据 ， 也 不 会 同时 传 
输 数 据 。 

帧 中 继 为 每 位 用 户 供应 专用 宽带 的 一 部 分 , 还 在 电信 网 络 有 空闲 资源 时 允许 用 户 超过 分 配给 他 的 
保证 带宽 。 因 此 ,一 般 说 来 ， 帧 中 继 提 供 商 允许 客户 购买 的 带宽 低 于 其 实际 使 用 的 带宽 。 帧 中 继 有 两 
种 带宽 方面 的 规格 : 

口 接 入 速率 ” 帧 中 继 接口 的 最 大 传输 速度 ; 

口 CIR 保证 提 供 的 最 大 带宽 ， 实际 上 ， 这 是 服务 提供 商 允 许 用 户 传输 的 平均 数据 量 。 

在 两 个 值 相等 时 , 帧 中 继 连接 几乎 与 专用 线 相 辣 。 但 可 将 它们 设置 为 不 同 的 值 , 下 面 是 一 个 例子 : 
假设 你 购买 的 接 人 速率 和 CIR 分 别 是 T1 (1.544 Mbit/s ) 和 256 Kbit/s。 这 将 保证 数据 流传 输 速 度 不 低 
于 256 Kbits。 超 过 的 部 分 称 为 “ 突 发 量 "， 它 是 超过 保证 速率 256 Kbit/s 的 部 分 ， 最 高 可 达 T1( 如 果 
合同 是 这 样 规定 的 )。 承 诺 信息 速率 和 突 发 量 之 和 被 称 为 最 大 突 发 速率 ( MBR ), 这 个 值 超过 接 人 速度 
后 ， 就 几乎 不 能 再 传输 更 多 的 数据 流 了 。 多 出 的 数据 流 很 可 能 被 丢弃 ， 不 过 是 和 否 丢弃 取决 于 服务 提供 
商 订购 的 速度 。 

在 理想 情况 下 , 超额 数据 流 也 将 成 功 传输 , 但 别 忘 了 “保证 速率 为 236Kbits” 中 的 “保证 ”一 词 。 
它 意 味 着 对 于 超出 保证 速率 256 Kbit/s 的 任何 突 发 数据 ， 将 以 “尽力 而 为 ”的 方式 传输 。 也 可 能 不 会 
传输 一 一 如 果 当 时 电信 网 络 没有 空闲 的 资源 。 在 这 种 情况 下 , 将 丢弃 突 发 数据 并 通知 DTE。 时 机 至 关 
重要 : 传输 速度 可 高 达 保证 速率 256 Kbivs 的 6 倍 (T1 )， 但 仅 当 电信 公司 的 设备 有 足够 的 容量 时 ， 才 
能 实现 。 还 记得 本 书 前 面 探讨 的 “超额 预订 ”( oversubscription ) 吗 ? 这 就 是 它 在 发 挥 作用 ! 
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CI 是 帧 中 继 交 换 机 同意 的 数据 传输 速度 ， 单 位 为 比特 每 秒 。 
注意 


2. 帆 中 继 封装 类 型 

在 思科 路 由 器 上 配置 帧 中 继 时 , 需要 在 串 行 接口 上 指定 相应 的 封装 类 型 。 前 面 说 过 , HDLC 和 PPP 
不 能 用 于 帧 中 继 。 配 置 帧 中 继 时 ， 需 要 指定 一 种 帧 中 继 封 装 ， 如 下 面 的 输出 所 示 。 不 同 于 HDLC 和 
PPP， 帧 中 继 有 两 种 封装 类 型 : Cisco 和 IETF ( 因特网 工程 任务 小 组 )。 下 面 的 路 由 器 输出 表明 ， 在 思 
科 路 由 器 上 ， 两 种 帧 中 继 封 装 方法 均 可 使 用 : 

RouterA(config)#int s0 

RouterA(Cconfig-if)#encapsulation frame-relay ? 

ietf Use RFC1490 encapsulation 
<cr> 

除非 手工 指定 ietf， 否 则 默认 封装 为 Cisco， 这 也 是 连接 思科 设备 时 使 用 的 封装 类 型 。 如 果 需 要 
使 用 帧 中 继 连 接 思科 设备 和 非 思科 设备 , 应 选择 使 用 封装 类 型 IETF。 无 论 使 用 哪 种 封装 类 型 ,都 必须 
确保 两 端的 帧 中 继 封装 类 型 一 致 。 

3. 虚 电 路 

帧 中 继 使 用 虚 电 路 ， 而 不 像 专用 线 那 样 使 用 实际 电路 。 这 些 虚 电 路 将 与 提供 商 “ 云 ”相连 的 数 以 
千 计 的 设备 连接 在 一 起 。 在 任何 两 台 DTE 设备 之 间 ， 帧 中 继 都 会 提供 一 条 虚 电 路 ， 让 它们 之 间 看 起 
来 像 是 有 一 条 实际 电路 ， 但 实际 上 ， 它 们 的 帧 被 发 送 到 一 个 共享 的 大 型 基础 设施 。 在 云 内 部 发 生 的 情 
况 非常 复杂 ， 但 这 种 复杂 性 不 会 呈现 在 你 面前 ， 因 为 使 用 虚 电 路 。 

虚 电 路 分 两 种 : 永久 虚 电 路 和 交换 虚 电 路 ,但 当前 永久 虚 电 路 (PVC ) 要 常见 得 多 。 这 里 的 “ 永 
久 ” 意 味 着 电信 公司 在 其 设备 中 创建 映射 ， 只 要 支付 费用 ， 它 们 就 一 直 存 在 。 

交换 虚 电 路 ( SVC ) 类 似 于 电话 ， 在 有 数据 需要 传输 时 建立 这 种 虚 电 路 ， 数 据 传 输 完 毕 后 即 可 

4. 数据 链 路 连接 标识 符 ‘DLCI) 

帧 中 继 PVC 是 使 用 数据 链 路 连接 标识 符 ( DLCI ) 来 标识 的 。 通 常 ， 由 帧 中 继 服 务 提 供 商 分 配 
DLCI 值 ， 而 在 帧 中 继 接口 上 使 用 这 些 值 来 区 分 不 同 的 虚 电 路 。 同 一 个 多 点 怖 中 继 接 口 可 能 端 接 很 多 
虚 电 路 ， 因 此 可 能 有 很 多 DLCI 与 之 相关 联 。 

假设 公司 有 1 个 总 部 (HQ) 和 3 个 分 支 机 构 。 如 果 使 用 T1 将 每 个 分 支 结构 连接 到 总 部 ， 则 需要 
占用 总 部 路 由 器 的 3 个 串 行 接口 一 一 每 条 Tl 线 一 个 。 现 在 假设 使 用 帧 中 继 PVC， 则 每 个 分 支 机 构 都 
可 使 用 Tl 连接 到 服务 提供 商 , 而 总 部 也 如 此 。 在 这 种 情况 下 ， 总 部 的 T1 线路 将 有 3 条 PVC， 每 个 分 
支 结构 1 条 。 虽然 只 占用 了 总 部 的 1 个 接口 和 1 个 CSU/DSU, 但 3 条 PVC 就 像 3 条 独立 的 链 路 一 样 。 
还 记得 前 面 探讨 过 节省 费用 吗 ? 省 出 来 的 2 个 T1 接 口 和 2 个 CSU/DSU 值 多少 钱 呢 ? 很多! 那么 , 为 
何不 使 用 帧 中 继 ， 节 省 一 些 费 用 呢 ? 

继续 讨论 DLCI 前 ， 先 来 介绍 一 下 反 向 ARP( IARP ) 及 其 在 帧 中 继 网 络 中 的 用 途 。IARP 类 似 于 
ARP， 它 将 DLCI 映 射 到 王 地 址 ， 而 ARP 将 MAC 地 址 映射 到 下 地 址 。 虽 然 你 不 能 配置 IARP， 但 可 
以 禁用 它 。IARP 运行 在 帧 中 继 路 由 器 上 , 将 DLCI 映射 到 人 P 地 址 ,让 帧 中 继 知 道 如 何 前 往 PVC 的 另 
一 端 。 要 查看 全 到 DLCI 的 映射 ， 可 使 用 命令 show frame-relay map。 
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然而 ， 如 果 网 络 中 有 不 支持 IARP 的 非 思科 路 由 器 ， 则 必须 使 用 命令 frame-relay map 静态 地 指 
定 卫 到 DLCI 的 映射 ， 稍 后 我 们 会 演示 这 一 点 。 


反 向 ARP (IARP ) 用 于 将 DLCI 映射 到 下 地 址 。 


接着 讨论 DLCI。DLCI 只 在 本 地 有 意义 ; 要 让 DLCI 有 全 局 意义 ， 整 个 网 络 都 必须 使 用 本 地 管理 
接口 (LMI ) 扩展 。 这 就 是 通常 只 有 私有 网 络 使 用 全 局 DLCI 的 原因 所 在 。 

然而 ，DLCI 并 非 必须 要 有 全 局 意义 才能 在 通过 网 络 传输 帧 的 过 程 中 发 挥 作 用 。 下 面 来 解释 这 
一 点 : RouterA 要 将 帧 发 送 给 RouterB 时 ，RouterA 查看 IARP 映射 或 手工 配置 的 上 映射， 以 获悉 要 前 
往 的 IP 地址 对 应 的 DLCI。 获悉 DLCI 后, 它 将 FR 报头 的 DLCI 字段 设置 为 该 值 , 并 将 帧 发 送出 去 。 
提供 商 的 入口 交换 机 收 到 这 个 帧 后 , 查看 DLCI- 物 理 接口 关联 表 , 以 获悉 一 个 新 的 “只 有 本 地 意义 ” 
(从 当前 交换 机 到 下 一 跳 交 换 机 ) 的 DLCI， 以 便 将 其 用 于 报头 ; 它 还 获悉 了 出 站 物理 端口 。 这 个 过 
程 不 断 重复 ， 直 到 到 达 RouterB。 因 此 ， 基 本 上 可 以 说 ，RouterA 使 用 的 DLCI 标识 了 前 往 RouterB 
的 整 条 虚 电 路 一 一 虽然 每 对 设备 之 间 的 DLCI 可 能 完全 不 同 。 这 里 的 要 点 是 ，RouterA 并 不 知道 这 
类 差别 ， 因 此 DLCI 只 有 本 地 意义 。 需 要 指出 的 是 ，DLCI 实际 上 被 电信 公司 用 于 “寻找 ”PVC 的 
另 一 端 。 

为 帮助 你 理解 DLCI 为 何 只 有 本 地 意义 ,请 看 图 16-17。 在 该 图 中 ，DLCI 100 只 对 RouterA 有 意 
义 ， 它 标识 从 RouterA 出 发 ， 经 其 人 口 帧 中 继 交 换 机 前 往 RouterB 的 电路 。DLCI 200 也 标识 该 电路 ， 


DLCI 100 > . DLCI 200 
RouterA RouterB 


16-17 DLCI 对 路 由 器 只 具有 本 地 意义 


用 于 标识 PVC 的 DLCI 号 通常 是 由 提供 商 分 配 的 ， 其 最 小 值 为 16。 
要 在 接口 上 配置 DLCI 号 ,可 像 下 面 这 样 做 : 
RouterA(config-if)#frame-relay interface-dlci ? 
<16-1007> Define a DLCI as part of the current 
subinterface 
RouterA(config-if)#frame-relay interface-dlci 16 


wea ne pentose 


DLCI 标识 本 地 路 由 器 和 帧 中 继 交 换 机 之 闻 的 逻辑 电路 。， 
注意 

5. 本 地 管理 接口 (LMI) 

本 地 管理 接口 ( LMI) 是 一 种 信 令 标准 ， 用 于 本 地 路 由 器 和 它 连接 的 第 一 台 帧 中 继 交 换 机 之 间 ， 
允许 提供 商 网 络 和 DTE( 本 地 路 由 器 ) 交 流 有 关 虚 电路 的 运行 情况 和 状态 方面 的 信息 , 包括 如 下 方面 。 
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口 存活 消息 ”验证 是 否 正 在 传输 数据 。 

口 组 播 ” 这 是 一 个 可 选 的 LMI 规范 扩展 ,借助 它 ， 能 够 通过 帧 中 继 网 络 有 效 地 分 发 路 由 选择 信 
息 和 ARP 请 求 。 组 播 使 用 保留 的 DLCI 一 一 1019 ~ 1022。 

口 全 局 编 址 让 DLCI 有 全 局 意义 ,让 帧 中 继 云 就 像 LAN 一 样 。 到 目前 为 止 ， 从 未 在 生产 网 络 
中 使 用 过 它 。 

口 虚 电 路 状态 ”提供 DLCI 状态 。 在 没有 定期 发 送 LMI 数据 流 时 ， 状 态 查询 和 消息 将 用 作 存 活 

消息 。 

但 别 忘 了 ，LMI 不 在 客户 路 由 器 之 间 交 换 信息 ， 而 在 客户 路 由 器 和 最 近 的 帧 中 继 交 换 机 之 间 交 换 
信息 。 因 此 ， 完 全 可 能 出 现 这 样 的 情况 : PVC 一 端的 路 由 器 在 接收 LMI 信息 ， 而 另 一 端的 路 由 器 没 
有 。 当 然 ， 在 一 端 处 于 down 状态 的 情况 下 ，PVC 不 能 正常 工作 ， 这 里 指出 上 述 情 形 旨 在 阐明 LMI 通 
信 的 本 地 特征 。 

LMI 消息 格式 有 3 种 : Cisco、ANSI 和 Q.933A。 使 用 哪 种 格式 取决 于 电信 公司 交换 设备 的 类 型 和 
配置 ， 因 此 必须 给 路 由 器 配置 正确 的 格式 ， 这 是 由 电信 公司 指定 的 。 


从 IOS 11.2 版 起 ,LMI 类 型 是 自动 检测 的 。 这 让 接口 能 够 确定 交换 机 支持 的 LMI 
注意 类型。 如 果 不 打算 使 用 自动 检测 功能 , 则 需 与 帧 中 继 提供 商 联系 , 询问 应 使 用 的 LMI 
类 型 。 


在 思科 设备 上 ， 软 认 类 型 为 Cisco， 但 需要 将 其 改 为 服务 提供 商 指定 的 类 型 (ANSI 或 Q.933A )。 
下 面 的 路 由 器 输出 显示 了 这 3 种 LMI 类 型 : 

RouterA(config-if)#frame-relay lmi-type ? 
cisco 
ansi 
q933a 

从 上 述 输出 可 知 ， 思 科 设 备 支持 全 部 3 种 标准 LMI 信 令 格式 ， 对 这 些 格式 描述 如 下 。 

口 Cisco 四 人 组 ( Gang of Four ) 定义 的 LMI 信 令 格式 ， 这 是 默认 设置 。 本 地 管理 接口 (LMI ) 
是 由 Cisco Systems、StrataCom、Northern Telecom 和 Digital Equipment Corporation 于 1990 年 
开发 的 ， 因 此 被 称 为 四 人 组 LMI 或 Cisco LMI。 

口 ANSI 这 是 在 ANSI 标 准 T1.617 的 附件 D 中 定义 的 。 
DO ITU-T (Q.933A) ”这 是 在 相关 ITU-T 标准 的 附件 A 中 定义 的 ， 要 指定 这 种 格式 ， id 
令 关 键 字 q933a。 

路 由 器 通过 使 用 帧 中 继 封 装 的 接口 ,从 服务 提供 商 的 帧 中 继 交换 机 那里 收 到 LMI 信息 后 , 将 虚 电 

路 的 状态 更 新 为 下 述 3 种 状态 之 一 : 

口 活动 状态 。 一切 正常 ， 路 由 器 可 彼此 交换 信息 ; 

口 非 活动 状态 ”路 由 器 接口 处 于 up 状态 ， 并 建立 了 到 交换 局 的 连接 ， 但 远程 路 由 器 处 于 down 
状态 ; 

口 拆除 状态 ( deleted state ) ”没有 收 到 交换 机 的 LMI 信息 ， 这 可 能 是 由 映射 问题 或 线路 故障 导 
致 的 。 
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6. 帧 中 继 拥 塞 控制 
从 本 章 前 面 对 CIR 的 讨论 可 知 ，CIR 设置 得 越 低 ， 数据 被 丢弃 的 风险 越 大 。 如 果 需 要 传输 的 数据 
不 多 , 很 容易 避 开 这 种 风险 一 一 只 需 确保 速度 不 超过 CIR 即 可 。 这 就 提出 了 一 个 问题 ,是 否 有 办 法 获 
悉 电 信 公 司 的 基础 设施 何 时 空闲 、 何 时 拥挤 ?如 果 有 办 法 获悉 这 一 点 ,该 如 何 利用 这 种 信息 ?这 正 是 
接 下 来 要 讨论 的 内 容 : 帧 中 继 交换 机 如 何 将 拥塞 问题 告知 DTE， 从 而 解决 上 述 这 些 重要 的 问题 。 
下 面 是 3 个 拥塞 位 及 其 含义 。 
口 可 丢弃 (Discard Eligibility，DE) 大 家 知道 ， 发 生 突 发 (传输 分 组 超过 PVC 的 CIR ) 时 ， 
如 果 提 供 商 的 网 络 正 处 于 拥塞 状态 ， 超 出 CIR 的 分 组 都 可 丢弃 。 因 此 ， 对 于 超额 分 组 ,将 在 
帧 中 继 报 头 中 使 用 可 丢弃 (DE ) 位 进行 标识 。 如 果 提 供 商 的 网 络 发 生 拥塞 ， 帧 中 继 交 换 机 将 
丢弃 设置 DE 位 的 分 组 。 因 此 ， 如 果 CIR 被 配置 为 零 ， 则 设置 总 是 DE 位 。 
口 前 向 显 式 拥塞 通知 (FECN) ”意识 到 帧 中 继 网 络 发 生 拥 塞 后 ， 交 换 机 将 帧 中 继 报 头 的 前 向 
显 式 拥 赛 通知 (FECN ) 位 设置 为 1， 以 告诉 目的 地 的 DTE， 帧 经 由 的 路 径 发 生 了 拥塞 。 
口 后 向 显 式 拥塞 通知 (BECN) ”交换 机 检测 到 帧 中 继 网 络 发 生 拥 塞 后 ， 将 在 前 往 源 路 由 器 的 帧 
中 继 设 置 前 向 显 式 拥塞 通知 (FECN ) 位 ， 以 告诉 该 路 由 器 前 方 发 生 了 拥塞 。 但 收 到 这 种 拥 
塞 信息 后 ， 思 科 路 由 器 不 会 采取 任何 措施 ， 除 非 命令 它 采 取 措 施 。 


要 获悉 这 方面 的 更 详细 信息 ， 请 在 思科 网 站 使 用 Frame Relay Traffic Shaping 进 
行 搜索 。 


@ 利用 帧 中 继 拥 塞 控制 信息 排除 故障 
现在 ， 假 设 所 有 用 户 都 抱怨 到 公司 总 部 的 帧 中 继 连 接 的 速度 超级 慢 。 你 极其 怀疑 该 链 路 的 负载 过 
重 ， 因 此 使 用 命令 show frame-relay pvc 显示 帧 中 继 拥 塞 控制 信息 ， 其 输出 如 下 : 


RouterA#sh frame-relay pvc 


PVC Statistics for interface Serial0/0 (Frame Relay DTE) 


Active Inactive Deleted Static 
Local 1 0 0 0 
Switched 0 0 0 0 
Unused 0 0 0 0 


DLCI = 100, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0 


input pkts 1300 output pkts 1270 in bytes 21212000 

out bytes 21802000 dropped pkts 4 in pkts dropped 147 

out pkts dropped 0 out bytes dropped 0 in FECN pkts 147 
in BECN pkts 192 out FECN pkts 147 

out BECN pkts 259 in DE pkts 0 out DE pkts 214 

out bcast pkts 0 out bcast bytes 0 


pvc create time 00:00:06, last time pvc status changed 00:00:06 
PodlR1# 


582 第 16 章 广域网 
在 上 述 输出 中 ， 你 最 关心 的 是 in BECN pkts 192， 它 告诉 本 地 路 由 器 ,前往 公司 总 部 的 数据 流 
遇 到 了 拥塞 。BECN 表示 返回 的 帧 在 路 途上 过 到 了 拥塞 。 


16.6.2 ” 帧 中 继 的 实现 和 监视 


前 面 说 过 , 帧 中 继 命令 和 配置 选项 很 多 , 但 这 里 只 介绍 要 通过 CCNA 考试 必须 知道 的 命令 和 选项 。 
首先 介绍 一 种 最 简单 的 配置 情形 一 一 两 台 路 由 器 通过 一 条 PVC 相连 。 接 下 来 ， 我 将 介绍 一 种 比较 复 


杂 的 配置 情形 一 一 使 用 子 接口 ， 并 演示 一 些 可 用 于 验证 配置 的 监视 命令 。 

1. 单 接口 

首先 来 看 一 个 简单 示例 一 一 只 使 用 一 条 PVC 将 两 台 路 由 器 连接 起 来 。 在 这 种 情况 下 ， 配 置 类 似 
于 下 面 这 样 : 


RouterA#config 七 

Enter Configuration commands, one per line. End with CNTL/Z. 

RouterACconfig)#int s0/0 

RouterA(config-if)#encapsulation frame-relay 

RouterA(Cconfig-if)#ip address 172.16.20.1 255.255.255.0 

RouterA(Cconfig-if)#frame-re1ay 1mi-type ansi 

RouterA(Cconfig-if)#frame-relay interface-dlci 101 

RouterA(Cconfig-if)#^Z 

RouterA# 

第 一 步 是 将 封装 指定 为 帧 中 继 。 由 于 没有 指定 封装 类 型 ( Cisco 或 ETF )， 因 此 将 使 用 默认 封装 类 
型 Cisco。 如 果 另 一 台 路 由 器 不 是 思科 路 由 器 ， 则 必须 将 封装 类 型 指定 为 正 TF。 接 下 来 ， 给 接口 分 配 
了 一 个 人 PP 地址, 并 根据 电信 提供 商 的 要 求 将 LMI 类 型 指定 为 ANSI( 默认 为 Cisco )。 最 后 , 添加 了 DLCI 
101 (同样 , 这 也 是 由 ISP 提供 的 ), 它 表示 我 们 要 使 用 的 PVC。 这 里 假定 该 物理 接口 上 只 有 一 条 PVC。 

就 这 么 简单 ! 如 果 两 端 都 配置 正确 ， 虚 电路 就 建立 起 来 了 。 


RN 0 


有 关 这 种 配置 的 完整 示例 ， 包 括 如 何 将 路 由 器 配置 为 帧 中 继 交 换 机 ， 请 参阅 动 
提示 。 手 实验 16.3。 


2. 子 接口 

大 家 可 能 知道 ， 可 在 同一 个 串 行 接口 配置 多 条 虚 电 路 ， 并 将 每 条 虚 电 路 都 视 为 独立 的 ， 我 以 前 提 
到 过 这 一 点 。 为 此 ， 可 创建 子 接口 。 可 将 子 接口 视 为 IOS 软件 定义 的 逻辑 接口 。 多 个 子 接口 将 共享 一 
个 硬件 接口 ， 但 它们 就 像 是 独立 的 物理 接口 一 样 ， 这 被 称 为 多 路 复 用 。 

要 让 帧 中 继 网 络 中 的 路 由 器 免 受 水 平分 割 问 题 的 困扰 ( 即 不 允许 某 些 路 由 选择 更 新 通过 )， 只 需 
为 每 条 PVC 配置 一 个 子 接口 ， 并 给 子 接口 配置 一 个 唯一 的 DLCI 和 也 地 址 。 

要 定义 子 接口 ， 可 使 用 类 似 于 s0.subinterface number 的 命令 。 首 先 ， 必 须 在 物理 串 行 接口 
上 指定 封装 方法 ,然后 便 可 定义 子 接口 了 一 一 通常 是 每 条 PVC 一个， 如 下 例 所 示 : 

RouterACconfig)#int s0 | 

RouterA(config-if)#encapsulation frame-relay 
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RouterA(config-if)#int s0.? 

<0-4294967295> Serial interface number 
RouterA(config-if)#int s0.16 ? 

multipoint Treat as a multipoint 1ink 

point-to-point Treat as a point-to-point link 
RouterA(config-if)#int s0.16 point-to-point 
RouterA(config-subif)# 


A 


如 果 要 配置 子 接口 ， 千 万 不 要 给 物理 接口 配置 IP 地 址 。 


在 任何 物理 接口 上 ,都 可 定义 大 量 的 子 接口 , 但 别 忘 了 , 可 使 用 的 DLCI 只 有 大 约 1000 个 。 在 上 
述 示例 中 ,我 将 子 接口 编号 设置 为 16， 因为 这 是 服务 提供 商 分 配给 相应 PVC 的 DLCI。 子 接口 分 以 下 
两 种 。 
口 点 到 点 子 接口 ”使 用 单条 虚 电 路 将 两 台 路 由 器 连接 起 来 时 使 用 这 种 子 接口 。 每 个 点 到 点 子 接 
口 都 位 于 不 同 的 子 网 中 。 


使 用 点 到 点 子 接口 时 ， 每 条 PVC 都 属于 不 同 的 子 网 ， 这 避免 了 NBMA 的 水 平 
注意 分割 问 题 。 


口 多 点 子 接口 ” 当 虚 电路 组 成 星 形 ， 且 连接 到 帧 中 继 网 络 云 的 所 有 路 由 器 串 行 接口 都 位 于 一 个 
子 网 内 时 ， 在 中 央 路 由 器 上 使 用 这 种 模式 ， 而 分 支 路 由 器 使 用 物理 接口 〈 总 是 点 到 点 的 ) 或 
点 到 点 子 接口 模式 。 
下 面 介 绍 使 用 多 个 子 接口 的 生产 路 由 器 的 一 种 配置 , 如 下 面 的 输出 所 示 。 注 意 到 子 接口 号 与 DLCI 
号 相同 ， 这 并 非 必须 的 ， 但 对 管理 接口 大 有 帮助 : 
interface Serial0 
no ip address (notice there is no IP address on the physical interface!) 
no ip directed-broadcast 
encapsulation frame-relay 
1 
interface Serial0.102 point-to-point 
ip address 10.1.12.1 255.255.255.0 
no ip directed-broadcast 
frame-relay interface-dlci 102 
1 
interface Serial0.103 point-to-point 
ip address 10.1.13.1 255.255.255.0 
no ip directed-broadcast 


frame-relay interface-dlci 103 
! 
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interface Serial0.104 point-to-point 
ip address 10.1.14.1 255.255.255.0 
no ip directed-broadcast 
frame-relay interface-dlci 104 


interface Serial0.105 point-to-point 
ip address 10.1.15.1 255.255.255.0 
no ip directed-broadcast 
frame-relay interface-dlci 105 


注意 到 这 里 没有 指定 LMI 类 型 。 这 意味 着 该 路 由 器 要 人 么 使 用 默认 类 型 Cisco， 要 人 么 自动 检测 LMI 
类 型 ( 如 果 它 运行 的 是 思科 IOS 11.2 或 更 高 的 版 本 )。 还 需 指 出 的 是 ， 每 个 子 接口 都 对 应 一 个 DLCI， 
且 位 于 不 同 的 子 网 中 。 别 忘 了 ， 点 到 点 子 接口 还 解决 了 水 平分 割 问题 。 


3. 监视 帧 中 继 


配置 帧 中 继 封 装 后 ， 常 使 用 几 个 命令 来 检查 接口 和 PVC 的 状态 。 要 获悉 这 些 命令 ， 可 执行 命令 
show frame ?， 如 下 所 示 : 
RouterA>sho frame ? 


end-to-end 
fragment 
ip 

lapf 

1mi 

map 

pvc 
qos-autosense 
route 

SVC 

上 traffic 
vofr 


Frame-relay end-to-end VC information 

show frame relay fragmentation information 
show frame relay IP statistics 

show frame relay lapf status/statistics 
show frame relay jmi statistics 
Frame-Relay map table 

show frame relay pvc statistics 

show frame relay qos-autosense information 
show frame relay route 

show frame relay SVC stuff 

Frame-Relay protocol statistics 

Show frame-relay VoFR statistics 


对 于 命令 show frame-relay， 最 常用 的 参数 包括 1Imi、pvc 和 map。 
下 面 介 绍 最 常用 的 命令 及 其 提供 的 信息 。 


@ 命令 show frame-relay 1mi 


命令 show frame-relay 1mi 显示 本 地 路 由 器 和 帧 中 继 交 换 机 之 间 交 换 的 LMI 数据 流 统计 信息 ， 


如 下 所 示 : 


Router#sh frame 1mi 


LMI Statistics for interface Serial0 (Frame Relay DTE) 
LMI TYPE = CISCO 
Invalid Unnumbered info 0 Invalid Prot Disc 0 
Invalid dummy Call Ref 0 Invalid Msg Type 0 
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Invalid Status Message 0 Invalid Lock Shift 0 

Invalid Information ID 0 Invalid Report IE Len 0 

Invalid Report Request 0 Invalid Keep IE Len 0 

Num Status Enq. Sent 61 Num Status msgs Rcvd 60 

Num Update Status Rcvd 0 Num Status Timeouts 0 
Router# 


在 路 由 器 上 执行 命令 show frame-relay lmi 时 ,输出 中 将 显示 LMI 错误 以 及 LMI 类 型 。 根 据 
该 命令 的 上 述 输 出 可 知 ， 帧 中 继 网 络 运行 是 否 正常 ， 答 案 是 否定 的 ， 因 为 路 由 器 发 送 了 60 个 查询 ， 
而 没有 从 帧 中 继 交 换 机 那里 收 到 一 个 响应 。 见 到 上 述 输出 后 ， 应 致电 提供 商 ， 因 为 帧 中 继 交 换 机 的 配 
置 有 问题 。 

@ 命令 show frame pvc 

命令 show frame pvc 列 出 所 有 配置 的 PVC 和 DLCI 号 ， 它 指出 了 每 条 PVC 的 状态 和 数据 流 统 
计 信 息 ， 还 指出 了 路 由 器 在 每 条 PVC 上 收发 的 BECN、FECN 和 DE 分 组 的 数量 。 

下 面 是 一 个 例子 : 


RouterA#sho frame pvc 
PVC Statistics for interface Serial0 (Frame Relay DTE) 


DLCI = 16,DLCI USAGE = LOCAL,PVC STATUS =ACTIVE， 
INTERFACE = Serial0.1 

input pkts 50977876 Output pkts 41822892 

in bytes 3137403144 

Out bytes 3408047602 dropped pkts 5 

in FECN pkts 0 

in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 
in DE pkts 9393 out DE pkts 0 

pvc create time 7w3d, last time pvc status changed 7w3d 


DLCI = 18,DLCI USAGE =LOCAL,PVC STATUS =ACTIVE, 
INTERFACE = Serial0.3 
input pkts 30572401 “output pkts 31139837 
in bytes 1797291100 
out bytes 3227181474 dropped pkts 5 
in FECN pkts 0 
in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 
in DE pkts 28 out DE pkts 0 
pvc create time 7w3d, last time pvc¢ status changed 7w3d 
如 果 只 想 查 看 PVC 16 的 信息 ， 可 执行 命令 show frame-relay pvc 16。 下 面 详 细 讨 论 如 下 输出 
行 的 含义 : 
DLCI = 16,DLCI USAGE = LOCAL,PVC STATUS =ACTIVE, 
INTERFACE = Serial0.1 
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在 命令 show frame-relay pvc 的 输出 中 ，PVC 状态 (PVC STATUS ) 字段 指出 了 路 由 器 和 帧 中 
继 交 换 机 之 间 的 PVC 的 状态 。 交 换 机 (DCE ) 使 用 LMI 协议 将 这 种 状态 报告 给 路 由 器 (DTE )。 报 告 
的 状态 为 下 面 3 种 之 一 。 
口 ACTIVE 交换 机 能 够 识别 DLCI， 在 DTE (路 由 器 ) 之 间 成 功 地 建立 了 电路 。 
口 INACTIVE 成 功 地 建立 了 本 地 路 由 器 到 交换 机 (DTE 到 DCE ) 的 连接 ， 但 未 成 功 地 建立 到 
远程 路 由 器 ( DTE ) 的 连接 。 这 可 能 是 由 于 路 由 器 的 配置 不 正确 , 也 可 能 是 由 于 交换 机 的 配置 
不 正确 。 
口 DELETED ”交换 机 (DCE ) 无 法 识别 路 由 器 (DTE ) 配置 的 DLCI， 或 路 由 器 的 配置 不 正确 。 


CCNA 考 试 大 岗 涵 盖 了 这 3 种 LMI 状态 ， 请 务必 明白 导致 这 些 状态 的 原因 。 


@ 命令 show interface 
要 检查 LMI， 可 使 用 命令 show interface， 它 显示 封装 以 及 有 关 第 2 层 和 第 3 层 的 信息 ， 还 显 
示 线 路 、 协 议 、DLCI 和 LMI 信 息 ， 如 下 所 示 : 
RouterA#sho int s0 
Serial0 is up, line protocol is up 
Hardware is HD64570 
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 
255/255, load 2/255 
Encapsulation FRAME-RELAY, loopback not set, keepalive 
set (10 sec) 
LMI enq sent 451751,LMI stat recvd 451750,LMI upd recvd 
164,DTE LMI up 
LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0 
LMI DLCI 1023 LMI type is CISCO frame relay DTE 
Broadcast queue 0/64, broadcasts sent/dropped 0/0, 
interface broadcasts 839294 
LMI DLCI 指出 了 当前 使 用 的 LMI 类型。 如 果 其 取 值 为 1023， 则 表明 使 用 的 是 思科 路 由 器 的 默认 
LMI 类型， 如 果 为 0， 则 表明 LMI 类 型 为 ANSI (Q.933A 也 使 用 0);， 如 果 为 其 他 值 ， 请 致电 提供 商 ， 
因为 他 们 遇 到 了 大 麻烦 ! 
@ 命令 show frame map 
命令 show frame map 显示 网 络 层 地 址 到 DLCI 的 映射 ， 如 下 所 示 : 
RouterB#show frame map 
Serial0 (up): ip 172.16.20.1 dlci 16(0x10,0x400), 
dynamic, broadcast,, status defined, active 
Seriall (Cup): ip 172.16.40.2 dlci 17(COx11,0x410), 
dynamic, broadcast,, status defined, active 


请 注意 ,网 络 层 地 址 是 使 用 动态 协议 反 向 ARP ( IARP ) 解析 的 。 在 DLCI 号 后 面 ， 有 两 个 用 括号 
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括 起 的 数字 。 在 第 1 行 ， 第 一 个 数字 为 0x10， 它 是 接口 Serial0 的 DLCI 16 的 十 六 进 制 表示 ; 在 第 二 
行 ， 为 0x11， 它 是 接口 Seriall 的 DLCI 17 的 十 六 进 制 表示 。 第 二 个 数字 〈0x400 和 0x410 ) 分 别 是 帧 
中 继 帧 中 的 DLCI 号 ， 它 们 不 同 于 第 一 个 数字 ， 这 是 因为 在 帧 中 比特 的 排列 顺序 不 同 。 


您 必须 知道 使 用 命令 show frame-relay 来 获悉 用 于 连接 到 远程 场 点 的 DLCI 号 。 


@ 命令 debug frame 1mi 

默认 情况 下 ， 命 令 debug frame 1mi 实现 实时 输出 ， 这 与 其 他 debug 命令 一 样 。 根 据 该 命令 显 
示 的 信息 ， 可 判断 路 由 器 和 交换 机 是 否 在 交换 正确 的 LMI 信息 ， 从 而 验证 帧 中 继 连 接 和 排除 其 故障 。 
下 面 是 一 个 例子 : 

Router#debug frame-relay lmi 

Serial3/1(in): Status，myseq 214 

RT IE 1, length 1, type 0 

KA IE 3, length 2, yourseq 214, myseq 214 

PVC IE Ox7 , length 0x6 , dilci 130, status Ox2 ， bw 0 

Serial3/1l(out): StEnq, myseq 215, yourseen 214, DTE up 

datagramstart = Ox1959DF4, datagramsize = 13 

FR encap = OxFCF10309 

00 75 01 01 01 03 02 D7 96 


Serial3/1(in): Status, myseq 215 
RT IE 1, length 1, type 1 
KA IE 3, length 2, yourseq 215, myseq 215 
Serial3/1l(out): StEnq, myseq 216, yourseen 215, DTE up 
datagramstart = Ox1959DF4, datagramsize = 13 
FR encap = 0xFCF10309 
00 75 01 01 01 03 02 D8 D7 
4. 排除 帧 中 继 网 络 故障 
只 要 知道 应 检查 哪些 方面 (这 正 是 我 们 要 介绍 的 )， 帧 中 继 网 络 故障 排除 就 与 其 他 网 络 的 故障 排 
除 一 样 容 易 。 下 面 介绍 常见 的 帧 中 继 配置 问题 以 及 如 何 解 决 这 些 问 题 。 
首先 是 串 行 封 装 问题 。 本 章 前 面 说 过 ， 帧 中 继 封装 有 两 种 Cisco 和 IETF。 默 认为 Cisco， 这 意 
味 着 帧 中 继 网 络 的 另 一 端 也 是 思科 路 由 器 ; 如 果 不 是 ， 则 需 将 封装 配置 为 IETF， 如 下 所 示 : 
RouterA(config)#int s0 
RouterA(config-if)#encapsulation frame-relay ? 
ietf Use RFC1490 encapsulation 
<Cr> 
RouterA(config-if)#encapsulation frame-relay ietf 


确定 使 用 了 正确 的 封装 后 ,需要 检查 帧 中 继 映射 。 例 如 ， 请 看 图 16-18。 


588 第 16 章 广域网 


DLCI 100 DLCI200 RouterB 


RouterA 172.16.100.1 


RouterA#show running-config 

interface sO0/0 

ip address 172.16.100.2 255.255.0.0 
encapsulation frame-relay 

frame-relay map ip 172.16.100.1 200 broadcast 


图 16-18 ” 帧 中 继 映 射 


为 何 RouterA 不 能 通过 帧 中 继 网 络 与 RouterB 通信 呢 ? 为 找 出 原因 ,请 仔细 检查 命令 frame-relay 
map。 发 现 问题 所 在 了 吗 ? 不 能 使 用 远程 端的 DLCI 来 与 帧 中 继 交 换 机 通信 , 而 必须 使 用 本 地 的 DLCI! 
在 该 映射 中 ， 应 使 用 DLCI 100 而 不 是 DLCI 200。 

知道 如 何 确保 帧 中 继 封装 正确 ， 并 知道 DLCI 只 有 本 地 意义 后 ， 下 面 介绍 帧 中 继 常 见 的 路 由 选择 
协议 问题 。 对 于 图 16-19 所 示 的 配置 ， 你 能 找 出 其 中 的 问题 吗 ? 


， 帧 中 继 。 黎 
本 DLCI 100 “3 DLCI200 
RouterA RouterB 
RouterA# show running-config RouterB#show running-config 
interface s0/0 interface sO0/0 
ip address 172.16.100.2 255.255.0.0 ip address 172.16.100.1 255.255.0.0 
encapsulation frame-relay encapsulation frame-relay 
frame-relay map ip 172.16.100.1 100 frame-relay map ip 172. ic 100.2 200 
router rip router rip 
network 172.16.0.0 network 172.16.0.0 


16-19 ” 帧 中 继 的 路 由 选择 问题 


配置 看 起 来 很 好 ， 问 题 何在 呢 ? 别 忘 了 ， 帧 中 继 默认 为 非 广播 多 路 访问 (NBMA ) 网 络 ， 这 意味 
着 它 不 会 通过 PVC 发 送 任何 广播 。 由 于 配置 映射 的 命令 末尾 没有 关键 字 broadcast， 因 此 不 会 通过 
PVC 发 送 广播 (如 了 RIP 更 新 )。 


16.7 ”虚拟 专 网 


你 以 前 肯定 听 说 过 术语 VPN， 且 不 止 一 次 。 你 可 能 还 知道 VPN 指 的 是 什么 但 如 果 不 知道 ， 这 
里 就 告诉 你 : 虚拟 专 网 ( VPN ) 让 你 能 够 利用 因特网 组 建 专用 网 络 ， 通 过 隧道 安全 地 传输 非 TCP/IP 
协议 分 组 。 

VPN 让 远程 用 户 和 远程 网 络 能 够 使 用 公共 介质 〈 如 因特网 ) 连接 到 公司 网 络 ， 而 无 需 使 用 昂贵 的 
永久 性 连接 。 

根据 VPN 在 企业 中 扮演 的 角色 ， 将 其 分 为 3 类 。 

口 远程 接 入 VPN 远程 接 入 VPN 让 远程 用 户 〈 如 远程 办 公 人 员 ) 能 够 随时 随地 地 安全 访问 公 

司 网 络 。 


16.7 虚拟 专 网 589 


口 场 点 到 场 点 VPN 场 点 到 场 点 VPN 也 被 称 为 内 联网 VPN， 让 远程 场 点 能 够 通过 公共 介质 
( 如 因特网 ) 安全 地 连接 到 公司 主干 ， 而 无 需 使 用 昂贵 的 WAN 连接 ， 如 帧 中 继 。 
口 外 联网 VPN 外 联网 VPN 让 供应 商 、 合 作 伙伴 和 客户 能 够 连接 到 公司 网 络 ， 以 进行 企业 间 
(B2B ) 通信 。 
鉴于 VPN 安全 且 价 格 低廉 ， 你 可 能 很 想 知道 如 何 组 建 VPN。 组建 VPN 的 方法 有 多 种 。 第 一 种 是 
使 用 也 Sec, 它 在 IP 网 络 的 端点 之 间 提 供 身份 验证 和 加 密 服务 ; 第 二 种 是 使 用 隧道 协议 ， 在 端点 之 间 
建立 隧道 。 需 要 指出 的 是 ， 隧 道 将 一 种 协议 或 数据 封装 在 另 一 种 协议 中 ， 这 很 容易 理解 ! 
介绍 IPSec 前 ， 先 来 介绍 4 种 最 常用 的 隧道 协议 。 
口 第 2 层 转 发 ”第 2 层 转 发 (Layer 2 Forwarding，L2F ) 是 一 种 思科 专用 的 隧道 协议 ， 它 是 思 
科 为 支持 虚拟 专用 拨号 网 络 (VPDN ) 而 开发 的 第 一 种 隧道 协议 。VPDN 人 允许 设备 通过 拨号 连 
接 安全 地 访问 公司 网 络 。L2F 已 被 L2TP 取代 ， 而 L2TP 向 后 与 L2F 兼容 。 
口 点 到 点 隧道 协议 (PPTP) 点 到 点 隧道 协议 (PPTP ) 是 微软 开发 的 ， 让 远程 网 络 能 够 安全 
地 将 数据 传输 到 公司 网 络 。 
口 第 2 层 隧道 协议 (L2TP) 第 2 层 隧道 协议 (L2TP ) 是 思科 和 微软 联合 开发 的 ， 用 于 取代 
L2F 和 PPTP。L2TP 容 L2F 和 PPTP 的 功能 于 一 身 。 
口 通用 路 由 选择 封装 ‘Generic Routing Encapsulation，GRE) 通用 路 由 选择 封装 (GRE ) 
也 是 一 种 思科 专用 的 隧道 协议 。 它 建立 虚拟 点 到 点 链 路 ,允许 在 中 隧道 中 封装 各 种 协议 分 组 。 
清楚 VPN 是 什么 以 及 各 种 类 型 的 VPN 后 ， 该 深入 探讨 IPSec 了 。 


16.7.1 思科 1OS IPsec 简介 


简单 地 说 ，IPSec 是 一 个 行业 标准 框架 ， 包 含 用 于 通过 IP 网 络 安 全 地 传输 数据 的 协议 和 算法 ， 它 
运行 在 OSI 模 型 的 第 3 层 ( 网 络 层 )。 

上 面 说 的 是 “IP 网 络 ”， 你 注意 到 了 吗 ? 这 很 重要 ， 因 为 PSec 不 能 用 于 加 密 非 IP 数据 流 。 这 意 
味 着 如 果 需 要 对 非 人 P 数据 流 进行 加 密 ， 必 须 创 建 一 个 GRE 隧道 ， 并 使 用 人 PSec 对 该 隧道 进行 加 密 ! 


16.7.2 IPSec 变换 


IPSec 变换 指定 了 一 种 安全 协议 及 对 应 的 安全 算法 ; 如 果 没 有 变换 ，IPSec 就 不 会 有 当今 的 “ 荣 
溜 "。 你 必须 熟悉 这 些 技术 , 下 面 花 点 时 间 定 义 安全 协议 , 并 简要 地 介绍 IPSec 依赖 的 加 密 算 法 和 散 列 
算法 。 

1. 安全 协议 

IPSec 使 用 的 两 种 主要 的 安全 协议 是 验证 头 (Authentication Header，AH ) 和 封装 安全 有 效 负载 
( Encapsulating Security Payload, ESP )。 

@ 验证 头 (AH ) 

AH 协议 使 用 单 向 散 列 值 对 分 组 的 数据 和 IP 报头 进行 验证 ， 其 工作 原理 如 下 : 发 送 方 生成 一 个 单 
向 散 列 值 , 而 接收 方 也 生成 相同 的 单 向 散 列 值 。 如 果 分 组 被 算 改 , 就 无 法 通过 身份 验证 , 从 而 被 于 弃 。 
基本 上 ，IPSec 依赖 于 AH 来 确保 真实 性 。AH 检查 整个 分 组 ， 但 没有 提供 任何 加 密 服务 。 

这 不 同 于 ESP，ESP 只 对 分 组 的 数据 进行 完整 性 检查 。 
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@ 封装 安全 有 效 负载 (ESP ) 
ESP 提供 数据 保密 性 、 数 据 来 源 身份 验证 、 无 连接 完整 性 和 反 重 播 服 务 ， 还 通过 防止 数据 传输 流 
程 分 析 提 供 了 有 限 的 数据 传输 流程 保密 性 。ESP 包含 4 个 组 成 部 分 。 
口 保密 性 ”保密 性 是 通过 使 用 DES 或 3DES 等 对 称 加 密 算法 提供 的 。 保 密 性 的 设置 可 独立 于 其 
他 服务 , 但 VPN 两 端的 保密 性 设置 必须 相同 。 
口 数据 来 源 验 证 和 无 连接 完整 性 ”数据 来 源 验 证 和 无 连接 完整 性 是 与 保密 性 协同 工作 的 服务 。 
口 反 重 播 服 务 仅 当 启用 了 数据 来 源 验证 时 ， 才 能 使 用 反 重 播 服务 。 反 重播 服务 依赖 于 接收 方 ， 
即 仅 当 接收 方 检查 序列 号 时 ， 这 种 服务 才能 发 挥 作用 。 重 播 攻击 指 的 是 黑客 制作 通过 了 验证 
的 分 组 副本 ， 然 后 将 其 传输 给 目的 地 。 当 这 个 经 过 验证 的 下 分 组 的 副本 到 达 目 的 地 后 ， 可 中 
断 服务 以 及 导致 其 他 糟糕 的 后 果 。 序 列 号 字段 就 是 为 阻止 这 种 攻击 而 设计 的 。 
口 数据 传输 流程 ”为 提供 数据 传输 流程 保密 性 ， 必 须 选 择 隧 道 模式 。 在 大 量 数据 流 聚 集 的 安全 
网 关 实 现 这 种 功能 的 效果 最 佳 ， 这 样 可 对 试图 攻击 网 络 的 人 隐藏 数据 传输 流程 。 
2. 加 密 
VPN 使 用 公共 网 络 基础 设施 组 建 私有 网 络 , 然而 , 为 提供 保密 性 和 安全 , 需要 将 IPSec 用 于 VPN。 
IPSec 使 用 各 种 类 型 的 协议 进行 加 密 。 当 今 使 用 的 加 密 算法 类 型 如 下 。 
口 对 称 加 密 ”这 种 加 密使 用 相同 的 密 钥 进行 加 密 和 解密 。 每 台 计 算 机 通过 网 络 传输 信息 前 ， 都 
对 其 进行 加 密 ; 且 加 密 和 解密 时 使 用 的 密 钥 相同 。 对 称 加 密 算法 包括 数据 加 密 标准 (DES )、 
三 重 DES (3DES ) 和 高 级 加 密 标 准 (AES )。 
口 非 对 称 加 密 ” 这 种 加 密 算法 使 用 不 同 的 密 钥 进行 加 密 和 人 解密， 这 两 种 密 钥 分 别称 为 私 钥 和 
公 和 钥 。 
私 钥 用 于 对 根据 消息 生成 的 散 列 值 进行 加 密 , 以 生成 数字 签名 , 而 公 钥 用 于 解密 以 验证 数字 签名 。 
公 钥 还 用 于 对 一 个 对 称 密 钥 进 行 加 密 ， 以 便 将 其 安全 地 分 发 给 接收 主机 ; 而 接收 主机 使 用 其 私 钥 对 该 
对 称 密 钥 进 行 解密 。 不 能 使 用 相同 的 密 钥 进行 加 密 和 解密 ,这 是 使 用 公 钥 和 私 钥 的 公 钥 加 密 的 另 一 种 
形式 。 一 个 非 对称 加 密 的 例子 是 RSA (Rivest、Shamir 和 Adleman )。 
从 前 面 的 介绍 ( 只 涉及 VPN 的 皮毛 ) 可 知 , 要 在 两 个 场 点 之 间 建 立 VPN, 需要 花 些 时 间 研 究 (有 
时 候 很 难 ), 还 需 大 量 地 实践 (有 时 需要 有 很 大 的 耐心 ) 思科 提供 了 GUI 接口 以 完成 这 个 过 程 ， 这 对 
于 给 VPN 配置 IPSec 很 有 帮助 ， 但 超出 了 本 书 的 范围 。 
对 管理 力量 有 限 的 公司 来 说 ， 思 科 的 Easy VPN 让 VPN 配置 起 来 容易 得 多 。 为 帮助 管理 和 部 署 
VPN， 思 科 提 供 了 3 个 组 件 : 
口 Cisco Easy VPN Server 安装 了 Firewall IOS 或 PCDWASA Firewall 的 思科 路 由 器 ， 在 场 点 到 
场 点 VPN 或 远程 接 人 VPN 中 充当 VPN 集中 器 ; 
口 Cisco Easy VPN Remote 安装 了 Firewall IOS 或 PIX/ASA Firewall 的 思科 有 路由器， 充当 
VPN 客户 端 ， 为 远程 网 络 中 的 主机 提供 服务 ; 
口 Cisco Easy VPN Client 安装 在 PC 上 ， 用 于 访问 Cisco VPN Server。 


有 关 VPN 和 IPSec 的 更 详细 信息 ( 这 些 信息 不 在 CCNA 考试 范围 内 )， 请 访问 
注意 www.lammle.com。 
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16.8 小结 


在 本 章 中 ,你 学 习 了 如 下 WAN 服务 之 间 的 差别 : 有 线 电视 、DSL、 Hprc、 PPP、PPPoE 和 帧 中 
继 ; 你 还 了 解 到 ， 这 些 服 务 之 一 正常 运行 后 ， 你 便 可 使 用 VPN。 

需要 指出 的 是 ， 你 必须 理解 高 级 数据 链 路 控制 (HDLC ) 以 及 如 何 使 用 命令 show interface 核 
实 HDLC 是 否 运 行 正常 ! 本 章 介绍 了 一 些 重要 的 HDLC 知识 ， 还 介绍 了 如 何 使 用 点 到 点 协议 (PPP )。 
在 需要 使 用 HDLC 提供 不 了 的 功能 或 需要 使 用 不 同 品牌 的 路 由 器 时 ， 要 使 用 PPP, 这 是 因为 每 种 版 本 
的 HDLC 都 是 专用 的 ， 不 能 用 于 不 同 厂商 的 路 由 器 之 间 。 

在 介绍 PPP 的 那 节 中 ， 讨 论 了 各 种 LCP 选项 以 及 两 种 身份 验证 方法 : PAP 和 CHAP。 

本 章 详细 讨论 了 帧 中 继 及 其 使 用 的 两 种 封装 方法 , 阐述 了 LMI 选 项 、 帧 中 继 映 射 以 及 子 接口 配置 ， 
介绍 了 帧 中 继 术 语 及 其 功能 ， 还 深入 探讨 了 帧 中 继 的 配置 和 验证 。 

最 后 ， 本 章 讨 论 了 虚拟 专 网 、IPSec 和 加 密 ， 还 简要 地 介绍 了 思科 的 Easy VPN。 


16.9 考试 要 点 


牢记 思科 路 由 器 的 默认 串 行 封装 设置 。 默 认 情况 下 ， 思 科 路 由 器 在 其 所 有 哩 行 链 路 上 都 使 用 专用 
的 HDLC ( 高 级 数据 链 路 控制 ) 封装 。 

理解 帧 中 继 封 装 类 型 。 思 科 在 其 路 由 器 上 使 用 两 种 帧 中 继 封装 方法 : Cisco 和 IETF。 如 果 将 封装 
方法 设置 为 cisco， 相 当 于 告诉 当前 路 由 器 ，PVC 的 另 一 端 是 一 台 思 科 路 由 器 ; 如 果 将 封装 方法 设置 
为 IETF， 则 相当 于 告诉 当前 路 由 器 ，PVC 的 另 一 端 是 一 台 非 思科 路 由 器 。 

牢记 帧 中 继 CIR。CIR 指 的 是 帧 中 继 交 换 机 同意 的 数据 传输 平均 速率 ， 单 位 为 比特 每 秒 。 

牢记 用 于 验证 帧 中 继 的 命令 。 命 令 show frame-relay 1mi 提供 有 关 本 地 路 由 器 和 帧 中 继 交 换 
机 之 间 交 换 的 LMI 数 据 流 的 统计 信息 。 命 令 show frame pvc 列 出 配置 的 所 有 PVC 和 DLCI 号 。 

牢记 PPP 数据 链 路 层 协议 。 有 3 种 数据 链 路 层 协 议 : 网络 控 制 协议 ( NCP )、 链 路 控制 协议 (LCP ) 
和 高 级 数据 链 路 控制 (HDLC )。 其 中 NCP 定义 了 网 络 层 协议 ，LCP 是 一 种 建立 、 配 置 、 维 护 和 拆除 
点 到 点 连接 的 方法 ， 而 HDLC 是 一 种 封装 分 组 的 MAC 层 协议 。 

牢记 各 种 串 行 WAN 连接 。 最 常用 的 串 行 WAN 连接 包括 HDLC、PPP 和 由 中 继 。 

明白 术语 虚拟 专 网 。 需 要 明白 为 何 要 在 两 个 场 点 之 间 使 用 VPN 证 它 ,还 需 明白 IPSec 
在 VPN 中 的 作用 。 
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请 回答 下 述 问题 。 

(1) 要 查看 思科 路 由 器 接口 Serial0 的 封装 方法 ， 可 使 用 哪个 命令 ? 

(2) 要 将 接口 s0 的 封装 方法 配置 为 PPP， 可 使 用 哪些 命令 ? 

(3) 要 在 思科 路 由 器 上 配置 用 户 名 todd 和 密码 cisco， 以 用 于 PPP 身份 验证 ， 可 使 用 哪些 命令 ? 
(4) 要 在 思科 路 由 器 的 串 行 接 口上 启用 CHAP 身份 验证 ,可 使 用 哪些 命令 ( 假定 封装 类 型 为 PPP )? 
(5) 要 给 串 行 接口 s0 和 sl 分 别 配置 DLCI 16 和 17， 可 使 用 哪些 命令 ? 

(6) 要 配置 一 个 连接 到 远程 办 事 处 的 点 到 点 子 接口 ， 并 使 用 DLCI 16 和 下 地 址 172.16.6.0/24, 可 


16 
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使 用 哪些 命令 ? 
(7) 如 果 要 运行 xDSL 并 进行 身份 验证 ， 使 用 哪 种 协议 ? 
(8) PPP 指定 了 哪 3 种 协议 ? 
(9) 要 确保 VPN 隧道 的 安全 ， 应 使 用 哪个 协议 族 ? 
(10) VPN 分 为 哪 3 类 ? 
(该 书面 实验 的 答案 见 本 章 复习 题 答 案 的 后 面 。) 


16.11 ”动手 实验 


本 节 要 求 你 完成 3 个 WAN 实验 : 配置 相应 示意 图 中 的 思科 路 由 器 。 这 些 实验 可 使 用 实际 的 思科 
路 由 器 来 完成 ， 也 可 使 用 思科 程序 Packet Tracer 来 完成 。 

动手 实验 16.1: 配置 PPP 封装 和 身份 验证 。 

动手 实验 16.2: 配置 和 监视 HDLC。 

动手 实验 16.3: 配置 帧 中 继 和 子 接口 。 


16.11.1 动手 实验 16.1: 配置 PPP 封装 和 身份 验证 - 


默认 情况 下 ， 思 科 路 由 器 在 串 行 链 路 上 使 用 点 到 点 封装 方法 HDLC ( 高 级 数据 链 路 控制 )。 如 果 
要 连接 到 非 思 科 设 备 ， 可 使 用 封装 方法 PPP 进行 通信 。 
在 这 个 实验 中 ,配置 下 述 示 意图 中 的 路 由 器 。 


pa 


RouterA RouterB 


(1) 在 路 由 器 RouterA 和 RouterB 上 ， 执 行 命令 sh int s0， 以 查看 封装 方法 。 
(2) 给 每 台 路 由 器 指定 主机 名 : 
RouterA#config t 

RouterA(Cconfig)#hostname RouterA 


RouterB#config t 
RouterB(Cconfig)#hostname RouterB 


(3) 为 将 这 两 台 路 由 器 的 封装 方法 从 默认 设置 HDLC 改 为 PPP， 在 接口 配置 模式 下 使 用 命令 
encapsulation。 链 路 两 端 使 用 的 封装 方法 必须 相同 。 

RouterA#Config t 

RouterA(config)#int sO 

RouterA(config-if)#encap ppp 

(4) 在 路 由 器 RouterB 上 ， 将 接口 s0 的 封装 方法 设置 为 PPP。 

RouterB#config t 

RouterB(config)#int s0 

RouterB(config-if)#encap ppp 
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(5) 在 这 两 台 路 由 器 上 使 用 命令 sh int s0 来 验证 配置 。 

(6) 注意 到 显示 了 IPCP、IPXCP 和 CDPCP (假设 接口 处 于 正常 状态 )， 它 们 用 于 在 MAC 子 层 通 
过 HDLC 传输 网 络 层 信息 。 

(7) 在 每 台 路 由 器 上 ， 指 定 用 户 名 和 密码 。 请 注意 ， 用 户 名 为 远程 路 由 器 的 主机 名 ， 而 密码 必须 
相同 。 

RouterA#conf1ig t 

RouterA(Cconfig)#username RouterB password todd 

RouterB#config t 

RouterB(config)#username RouterA password todd 

(8) 在 每 个 接口 上 启用 身份 验证 方法 CHAP 或 PAP。 

RouterA(config)#int sO 

RouterA(config-if)#ppp authentication chap 


RouterB(config)#int sO0 
RouterB(config-if)#ppp authentication chap 
(9) 在 每 台 路 由 器 上 ， 使 用 如 下 命令 验证 PPP 配置 。 
RouterB(Cconfig-if)#shut 
RouterB(config-if)#debug ppp _ authentication 
RouterB(config-if)#no shut 


16.11.2 ”动手 实验 16.2: 配置 和 监视 HDLC 


实际 上 , 根本 不 需要 配置 HDLC ( 因为 这 是 思科 串 行 接口 的 默认 配置 ), 但 完成 动手 实验 16.1 后 ， 
两 台 路 由 器 使 用 的 封装 方法 都 是 PPP, 这 就 是 笔者 将 动手 实验 16.1 放 在 前 面 的 原因 所 在 。 在 这 个 实验 
中 ， 你 可 以 练习 一 下 在 一 台 路 由 器 上 配置 HPLC 封装。 


这 个 实验 使 用 的 网 络 与 动手 实验 16.1 相同 。 


(]) 使 用 命令 encapsulation hd1c 配置 每 个 串 行 接口 的 封装 方法 。 
RouterA#conf1ig t 

RouterA(Cconfig)#int s0 

RouterA(Cconfig-if)#encapsulation hd1c 


RouterB#config 七 
RouterB(config)#int sO 
RouterB(config-if)#encapsulation hdic 


(2) 在 每 台 路 由 器 上 ， 使 用 命令 show interface s0 验证 HDLC 封装 。 
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16.11.3 ”动手 实验 16.3: 配置 帧 中 继 和 子 接口 
在 这 个 实验 中 , 在 如 下 图 所 示 的 网 络 中 配置 帧 中 继 。 


配置 路 由 器 Lab_B, 使 其 充当 帧 中 继 交 换 机 ; 然后 ， 配置 路 由 器 Lab A 和 Lab_C, 使 其 通过 帧 中 
继 交 换 机 建立 一 条 PVC。 

(1) 在 路 由 器 Lab B 上 ， 设 置 主机 名 、 配 置 命令 frame-relay switching， 并 指定 每 个 串 行 接口 
的 封装 方法 。 

Router#config t 

Router(Cconfig)#hostname Lab B 

Lab_B(config)#frame-relay switching [makes the router an 

FR switch] 

Lab_B(Cconfig)#int S0 

Lab_B(config-if)#encapsulation frame-relay 

Lab_B(config-if)#int sl 

Lab_B(config-if)#encapsulation frame-relay 


(2) 在 每 个 接口 上 配置 帧 中 继 映 射 。 无 需 给 这 些 接口 分 配 IP 地 址 ， 因 为 它们 只 是 将 帧 中 继 交 换 到 
另 一 个 接口 。 
Lab_B(Cconfig-if)#int sO 
Lab_B(Cconfig-if)#frame intf-type dce 
LThe above command makes this an FR DCE interface, which 
Ts different than a router's interface being DCE] 
Lab_BCconfig-if)#frame-relay route 102 有 
Serial0/l1 201 
Lab_B(config-if)#clock rate 64000 
[The above command 1s Used if you have this as DCE, which 
is different than an FR DCE] 
Lab_B(config-if)#int sl 
Lab_B(Cconfig-if)#frame intf-type dce 
Lab_B(config-if)#frame-relay route 201 interface 
Serial0/0 102 
Lab_B(config-if)#clock rate 64000 [if you have this as DCE] 
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这 没有 看 上 去 那么 难 。 命 令 route 指出 ， 收 到 来 自 PVC 102 的 帧 后 ， 使 用 PVC 201 将 其 从 接口 s0/1 
发 送出 去 。 在 接口 s0/1 上 配置 的 映射 与 此 相反 : 对 于 经 接口 s0/1 进入 的 任何 帧 ， 都 使 用 PVC 102 将 
其 从 接口 s0/0 发 送出 去 。 

(3) 给 路 由 器 Lab A 配置 一 个 点 到 点 子 接口 。 

Router#config 七 

Router(config)#hostname Lab_A 

Lab_ACconfig)#int s0 

Lab_A(config-if)#encapsulation frame-relay 

Lab_ACconfig-if)#int s0.102 point-to-point 

Lab_ACconfig-if)#ip address 172.16.10.1 

255.255.255 .0 
Lab_ACconfig-if)#frame-relay interface-dlci 102 


(4) 给 路 由 器 Lab C 配置 一 个 点 到 点 子 接口 。 

Router#config t 

Router(Cconfig)#hostname Lab_C 

Lab_CCconfig)#int sO 

Lab_ CCconfig-if)#encapsulation frame-rejay 

Lab_CCconfig-if)#int s0.201 point-to-point 

Lab_CCconfig-if)#ip address 172.16.10.2 
255.255.255.0 

Lab_C(config-if)#frame-relay interface-dici 201 


(5) 使 用 下 述 命令 验证 配置 。 

Lab_A>sho frame ? 
ip show frame relay IP statistics 
1mi show frame relay lmi statistics 
map Frame-Relay map table 

pvc show frame relay pvc statistics 


route show frame relay route 
traffic Frame-Relay protoco1 statistics 


(6) 另外 ， 使 用 ping 和 teinet 来 验证 连接 性 。 
16.12 ”复习 题 


下 面 的 复习 题 引 在 检验 你 对 本 章 内 容 的 理解 程度 。 有 关 如 何 获 取 更 多 复习 题 的 
注意 ” 信息 ， 请 参阅 本 书 的 前 言 。 


(1) 下 面 哪个 命令 实时 地 显示 网 络 中 两 台 路 由 器 之 间 的 CHAP 身份 验证 过 程 ? 
A. show chap authentication B. show interface serial 0 
C. debug ppp authentication D. debug chap authentication 


(2) 在 帧 中 继 网 络 中 ， 如 果 没 有 启用 反 向 ARP， 必 须 配置 下 面 哪个 命令 ? 


全 
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A. frame-relay arp B. frame-relay map 
C. frame-relay interface-dci D. frame-relay lmi-type 


(3) 假设 你 有 位 客户 ， 有 一 个 总 部 和 6 个 分 支 机 构 。 该 客户 预计 ， 不 久 后 还 将 增加 6 个 分 支 机 构 。 他 想 
实现 WAN,， 让 分 支 机 构 能 够 以 低廉 的 方式 连接 到 总 部 ,但 总 部 路 由 器 没有 多 余 的 端口 。 在 这 种 情况 下 ,你 


推荐 下 列 哪 种 方式 ? 
A. PPP B. HDLC C. 帧 中 继 D. ISDN 
(4) 执行 命令 Router#show frame-relay ?时 , 将 显示 下 面 哪 3 个 选项 ? 
A.dlci B. neighbors C. 1mi D. pvc E. map 


(5) 对 于 帧 中 继 网 络 中 的 路 由 器 ， 为 避免 水 平分 割 导 致 路 由 选择 更 新 被 丢弃 ， 应 如 何 配置 它 ? 
A. 为 每 条 PVC 配置 一 个 子 接口 ， 给 每 个 子 接口 分 配 唯 一 的 DLCI 并 让 它 属于 不 同 的 子 网 
B. 将 多 条 帧 中 继 电 路 合并 成 一 条 点 到 点 线路 ， 以 支持 组 播 和 广播 
C. 配置 很 多 子 接口 ， 并 让 它们 属于 同一 个 子 网 
D. 配置 一 个 子 接口 ， 以 建立 多 条 到 不 同 远程 路 由 器 接口 的 PVC 连接 

(6) 在 串 行 接口 上 上 ， 可 配置 哪 3 种 封装 ? 


A. 以 太 网 B. 令 牌 环 C. HDLC D. 帧 中 继 E. PPP 
(7) 给 点 到 点 子 接口 配置 帧 中 继 时 ， 绝 对 不 要 配置 下 面 哪 项 ? 
A. 在 物理 接口 上 配置 帧 中 继 封装 B. 在 每 个 子 接口 上 配置 本 地 DLCI 
C. 给 物理 接口 配置 瑟 地址 D. 将 子 接口 类 型 配置 为 点 到 点 的 
(8) 使 用 串 行 DTE 接口 将 路 由 器 连接 到 帧 中 继 WAN 链 路 时 ， 时 钟 频 率 是 如 何 确定 的 ? 
A. 由 CSU/DSU 提供 B. 由 远程 路 由 器 提供 
C. 使 用 命令 clock rate 配置 D. 由 物理 层 比 特 流速 度 确定 
(9) 默认 情况 下 ， 帧 中 继 WAN 属于 下 面 哪 种 网 络 类 型 ? 
A. 点 到 点 B. 广播 多 路 访问 C. 非 广播 多 路 访问 D. 非 广播 多 点 
(10) 下 面 哪 种 协议 将 PPP 帧 封装 在 以 太 网 帧 中 ， 并 使 用 常见 的 PPP 功能 ， 如 身份 验证 、 加 密 和 压缩 ? 
A. PPP B. PPPoA C. PPPoE D. 令 牌 环 


(11) 要 对 路 由 器 进行 配置 ， 使 其 通过 帧 中 继 连 接 到 一 台 非 思科 路 由 器 ， 必 须 在 WAN 接口 上 配置 下 面 
哪个 命令 ? 
A. Router(config-if)#encapsulation frame-relay q933a 
B. Router(config-if)#encapsulation frame-relay ansi 
C. Router(config-if)#encapsulation frame-relay ietf 
D. Router (config-if)#encapsulation frame-relay cisco 
(12) Acme Corporation 正在 实现 拨号 服务 , 让 远程 办 公 员 工 能 够 连接 到 公司 网 络 。 该 公司 使 用 了 多 种 被 
路 由 的 协议 ， 要 求 对 连接 到 网 络 的 用 户 进行 身份 验证 ， 还 要 求 支 持 回 拨 ( 因为 有 些 呼叫 为 长 途 ) 。 请 问 下 
面 哪 种 协议 最 适合 用 于 提供 这 种 远程 接 人 服务 ? 


A.802.1 B. 帧 中 继 C. HDLC D. PPP E. PAP 
(13) 在 异步 串 行 连接 上 ， 可 配置 下 面 哪 两 种 WAN 封装 方法 ? 

A. PPP B. ATM C. HDLC D. SDLC E. 帧 中 继 
(14) 下 面 哪 种 WAN 连接 将 ATM 用 作 数 据 链 路 层 协议 ， 并 用 DSLAM 端 接 ? 

A. DSL B. PPPoE C. 帧 中 继 D. 专用 Tl 线路 

E. 无 线 F. POTS 


(15) 查看 以 下 代码 ， 指 出 为 何 路 由 器 Corp 和 Remote 之 间 的 串 行 链 路 处 于 down 状态 ? 
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Corp#sh int s0/0 
Serial0/0 is up, line protocol is down 
Hardware is PowerQUICC Serial 
Internet address is 10.0.1.1/24 
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec， 
reliability 254/255, txload 1/255, rxload 1/255 
Encapsulation PPP, loopback not set 


Remote#sh int s0/0 
Serial0/0 is up, line protocol is down 
Hardware is PowerQUICC Serial 
Internet address is 10.0.1.2/24 
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec， 
reliability 254/255, txload 1/255, rxload 1/255 
Encapsulation HDLC, loopback not set 
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A. 申 行 电缆 出 现 了 故障 B. 两 端的 外地 址 不 属于 同一 个 子 网 C. 子 网 掩 码 不 正确 


D. 存活 设置 不 正确 E. 第 2 层 帧 类 型 不 兼容 

(16) 术语 HFC 用 于 下 面 哪 种 技术 ? 
A. DSL B. PPPoE C. 帧 中 继 D. 有 线 电视 
E. 无 线 F. POTS 


Central#show running-config 

! 

interface Serial0 

ip address 10.0.8.1 255.255.248.0 
encapsulation frame-relay 
frame-relay map ip 10.0.15.2 200 
! 

Router rip 

Network 10.0.0.0 


Remote#show running-config 

1 

interface Serial0 

ip address 10.0.15.2 255.255.248.0 
encapsulation frame-relay 
frame-relay map ip 10.0.8.1 100 

! 

Router rip 

Network 10.0.0.0 


(17) 将 远程 场 点 连接 到 总 部 后 ， 其 中 的 用 户 却 无 法 访问 总 部 的 应 用 程序 ， 但 从 总 部 路 由 器 可 ping 远程 
场 点 路 由 器 。 查 看 下 述 命令 输出 后 ， 你 认为 这 种 问题 很 可 能 是 下 面 哪 种 原因 导致 的 ? 
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A. 未 建立 帧 中 继 PVC 
B. 在 总 部 /远程 场 点 路 由 器 上 配置 的 下 地 址 不 正确 
C. 未 转发 RIP 路 由 选择 信息 
D. 没有 正确 地 配置 帧 中 继 反 向 ARP 
(18) 下 面 哪 项 是 行业 标准 协议 和 算法 徐 ， 运行 在 OSI 模型 的 第 3 层 (网 络 层 ) ,允许 通 过 下 网 络 安全 
地 传输 数据 ? 


A. HDLC B. 有 线 电 视 C. VPN D. IPSec E. xDSL 
(19) 下 面 哪 项 允许 利用 因特网 组 建 专用 网 络 ， 通 过 隧道 安全 地 传输 非 TCP/IP 协议 分 组 ? 
A. HDLC B. 有 线 电视 C. VPN D. IPSec E. xDSL 
(20) 在 下 面 的 示意 图 中 ， 帧 中 继 DLCI 给 RouterA 提供 了 什么 功能 ? 
EE DLCI100 “号 DLCI a 


RouterA RouterB 


A. 指定 了 在 RouterA 和 帧 中 继 交 换 机 之 间 使 用 的 信 令 标准 
B. 标识 RouterA 和 帧 中 继 交 换 机 之 间 的 虚 电 路 

C. 指出 了 在 RouterA 和 RouterB 之 间 使 用 的 封装 

D. 指定 了 在 RouterB 和 帧 中 继 交 换 机 之 间 使 用 的 信 令 标准 


16.13 ”复习 题 答案 


(1) C。 命令 debug ppp authentication 显示 PPP 在 点 到 点 连接 上 执行 的 身份 验证 过 程 。 

(2) B。 如 果 帧 中 继 网 络 中 有 不 支持 IARP 的 路 由 器 ， 必 须 在 该 路 由 器 上 创建 帧 中 继 映 射 ， 以 提供 DLCI 
到 卫 地 址 的 映射 。 

(3) C。 关键 在 于 路 由 器 “没有 多 余 的 端口 ”。 只 有 帧 中 继 可 使 用 一 个 接口 连接 到 多 个 地 方 , 且 价格 低廉 。 

(4) C、D 和 E。 命令 show frame-relay ?显示 的 选项 很 多 ,但 在 这 个 问题 中 列 出 的 只 有 1mi 、pvc 
和 map。 

(5) A。 如 果 在 同一 个 串 行 端口 配置 了 连接 到 多 个 远程 场 点 的 PVC， 第 8 章 讨论 的 水 平分 割 规则 会 禁止 将 
路 由 更 新 从 收 到 的 接口 发 送出 去 。 使 用 帧 中 继 时 ， 通 过 为 每 条 PVC 创建 一 个 子 接口 ， 可 避免 水 平分 割 问题 。 

(6) C、D 和 E。 以 太 网 和 令 牌 环 属于 LAN 技术 ， 不 能 在 串 行 接口 上 配置 它们 。PPP、HDLC 和 帧 中 继 
属于 第 2 层 WAN 技术 ,通常 在 串 行 接口 上 配置 它们 。 

(7)C。 使 用 点 到 点 子 接口 配置 帧 中 继 时 ,不 能 给 物理 接口 分 配 IP 地 址 , 备考 CCNA 时 牢记 这 一 点 至 关 
重要 。 

(8) A。. 在 串 行 接口 上 ， 时 钟 频 率 总 是 由 CSU/DSU ( DCE 设备 ) 提供 。 然 而 ， 如 果 在 测试 环境 中 没有 
CSU/DSU， 则 需要 在 与 电缆 的 DCE 端 相连 的 路 由 器 串 行 接口 上 ， 使 用 命令 clock rate 指定 时 钟 频率 。 

(9) C。 默 认 情况 下 ， 帧 中 继 为 非 广播 多 路 访问 (NBMA ) 网 络 ， 这 意味 着 默认 不 会 通过 这 种 链 路 转发 
广播 ， 如 RIP 更 新 。 

(10) C。 PPPoE 将 PPP 帧 封装 到 以 太 网 帧 中 , 并 使 用 常见 的 PPP 功能 , 如 身份 验证 、 加 密 和 压缩 。 PPPoA 
用 于 ATM。 

(11) C。 如 果 帧 中 继 网 络 的 一 端 为 思科 路 由 器 ， 而 另 一 端 为 非 思 科 路 由 器 ， 则 需 使 用 帧 中 继 封 装 类 型 
IETF。 帧 中 继 封装 类 型 默认 为 Cisco， 这 意味 着 帧 中 继 PVC 两 端 都 必须 是 思科 路 由 器 。 
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(12) D。 只 能 选择 PPP， 因 为 HDLC 和 帧 中 继 都 无 法 满足 这 些 业务 需求 。PPP 提供 了 动态 编 址 、 身 份 验 
证 (PAP 或 CHAP ) 和 回 拨 服 务 。 

(13) A 和 B。 请 不 要 因 答 案 B 也 对 而 感到 难受 ，CCNA 考试 不 会 对 ATM 涉及 太 深 。PPP 是 最 常用 的 拨 
号 (异步) 服务 , 但 也 可 使 用 ATM， 虽 然 通 常 不 会 使 用 它 ， 因 为 PPP 的 效果 很 好 。 

(14) A。DSL 第 1 层 连接 始 于 CPE, 终止 于 DSLAM， 它 通常 将 ATM 用 作 数 据 链 路 层 协议 。DSLAM 
是 一 台 ATM 交换 机 ， 装 有 DSL 接口 卡 (ATU-C ) 。 

(15) E。 这 个 问题 很 简单 ， 因 为 路 由 器 Remote 使 用 默认 的 串 行 封 装 HDLC， 而 路 由 器 Corp 使 用 串 行 封 
装 PPP。 应 该 在 路 由 器 Remote 上 将 封装 设置 为 PPP， 也 可 在 路 由 器 Corp 上 将 封装 恢复 到 默认 设置 HDLC。 

(16)D。 混 合 光纤 同 轴 (HFC ) 是 一 个 电信 术语 ， 指 的 是 混合 使 用 光纤 和 同 轴 电 缆 组 建 的 宽带 网 络 。 

(17)C。 昌 然 下 地 址 看 起 来 不 正确 ， 但 它们 确实 位 于 同一 个 子 网 中 ， 因 此 答案 B 不 对 。 这 个 问题 指出 ， 
可 ping 另 一 端 ， 这 说 明 PVC 肯定 处 于 up 状态 ， 因 此 答案 A 不 对 。 不 能 配置 IARP， 因 此 只 有 答案 C 可 能 
正确 。 默 认 情 况 下 ， 帧 中 继 网 络 为 非 广播 多 路 访问 网 络 ， 除 非 在 命令 frame-relay map 末尾 加 上 关键 字 
broadcast， 否 则 不 会 通过 PVC 发 送 RIP 更 新 等 广播 。 

(18) D。IPSec 是 一 种 行业 标准 协议 和 算法 艇 ,运行 在 OSI 模型 的 第 3 层 (网 络 层 ) ,: 允许 通过 IP 网 络 
安全 地 传输 数据 。 

(19) C。VPN 让 你 能 够 利用 因特网 组 建 专用 网 络 ， 通 过 隧道 安全 地 传输 非 TCP/IP 协议 分 组 。 可 通过 任 
何 类 型 的 链 路 建立 VPN。 

(20) B。DLCI 只 有 本 地 意义 ， 它 定义 了 从 路 由 器 到 帧 中 继 交 换 机 的 电路 ， 这 一 点 笔者 在 本 章 中 说 过 多 
次 ， 你 应 该 牢记 。 它 们 不 涉及 远程 路 由 器 和 DLCI。RouterA 将 使 用 DLCI 100 前 往 RouterB 连接 的 网 络 ， 而 
RouterB 将 使 用 DLCI 200 前 往 RouterA 连接 的 网 络 。 
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(1) sh int sO 
(2) config 七 
int SO 
encap ppp 
(3) config t 
username todd password cisco 
(4) config 七 
int seriali0 
ppp _ authentication chap 
(5) config 七 
int sO 
frame interface-dlci 16 
int sl 
frame interface-dlci 17 
(6) config t 
int S0 
no ip address 
encap frame 
int s0.16 point-to-point 
ip address 172.16.60.1 255.255.255.0 
frame interface-dlci 16 
(7) PPPoE 或 PPPoA (8) HDLC、LCP 和 NCP {9) IPSec 


(10) 远程 接 入 VPN、 场 点 到 场 点 VPN 和 外 联网 VPN 


附 录 


配套 光盘 


本 附录 包含 如 下 内 容 。 
v 配套 光盘 的 内 容 

v 系统 需求 

v 使 用 配套 光盘 

v 排除 故障 


A.1 配套 光盘 的 内 容 


本 节 简 要 地 介绍 配套 光盘 中 的 软件 和 其 他 内 容 。 如 果 你 不 知道 如 何 安 装 这 些 内 容 ， 请 参阅 本 附录 
后 面 的 “使 用 配套 光盘 ”一 节 的 安装 说 明 。 


A.1.1 ”Sybex 考试 引擎 

配套 光盘 中 包含 Sybex 考试 引擎 ， 其 中 有 两 套 考题 。 
A.1.2 电子 抽 认 卡 

顾名思义 ， 这 些 方便 的 电子 抽 认 卡 一 面 是 问题 ， 另 一 面 是 答案 。 
A.1.3 PDF 版 术语 表 

配套 光盘 包含 PDF 格式 的 术语 表 ， 可 使 用 Adobe Reader 查看 该 术语 表 。 
A.1.4 Adobe Reader 


配套 光盘 还 包含 Adobe Reader， 以 便 你 能 查看 以 PDF 文件 提供 的 配套 内 容 。 要 了 解 Adobe Reader 
的 更 详细 信息 或 查询 更 新 的 版 本 ， 请 访问 Adobe 网 站 ， 其 网 址 为 www.adobe.com/products/reader/。 


A.2 系统 需求 
你 的 计算 机 必须 满足 下 面 列 出 的 最 低 系 统 需 求 。 如 果 你 的 计算 机 不 能 满足 这 些 需求 的 大 部 分 ,使 


-用 配套 光盘 中 的 软件 和 文件 时 可 能 遇 到 麻烦 。 有 关 这 方面 的 详细 以 及 最 新 信息 ， 请 参阅 配套 光盘 根 目 
录 下 的 文件 ReadMe.txt。 
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口 使 用 操作 系统 Microsoft Windows 98、Windows 2000、Windows NT (安装 了 SP4 或 更 高 的 版 
本 )、Windows Me、Windows XP、Windows Vista 或 Windows 7。 

口 可 连接 到 因特网 。 

口 带 光驱 。 


A.3 ”使 用 配套 光盘 


要 将 配套 光盘 中 的 内 容 安装 到 硬盘 ， 请 执行 如 下 步 又: 
(1) 将 光盘 插入 光驱 ， 将 显示 许可 协议 。 


如 果 禁 用 了 自动 运行 功能 ， 则 不 会 出 现 界 面 。 在 这 种 情况 下 ， 可 选择 菜单 “ 开 
注意 始 "一 “运行 ”( 对 于 Windows Vista 或 Windows7 用 户 ， 需 要 选择 菜单 “开始 "一 “所 有 
程序 ”一 “附件 ”一 “运行 ”)。 在 出 现 的 对 话 框 中 ,输入 DNStrat.exe (请 将 其 中 的 D 替 

换 为 光驱 的 盘 符 ; 如 果 不 知 道 该 盘 符 ,请 查看 “我 的 电脑 ”)， 然 后 单 击 “确定 ”。 


(2) 阅读 许可 协议 ， 然 后 单 击 “ 接 受 ”( Accept ) 按钮 一 一 如 果 你 想 使 用 该 配套 光盘 的 话 。 
此 时 ,将 出 现 配 套 光 盘 的 界面 ， 只 需 单 击 一 两 次 鼠标 就 能 使 用 配套 光盘 中 的 内 容 。 


A.4 排除 故障 


Wiley 出 版 社 尽 力 提供 可 在 大 多 数 计算 机 上 运行 的 程序 ， 尽 可 能 降低 其 系统 需求 ， 但 每 位 读者 使 
用 的 计算 机 都 不 同 ， 有 些 程序 可 能 由 于 某 些 原 因 不 能 正常 运行 。 

导致 这 种 问题 的 两 个 最 常见 的 原因 是 : 没有 足够 的 内 存 (RAM ) 来 支持 要 运行 的 程序 ; 受 正在 运 
行 的 其 他 程序 的 影响 ， 当 前 应 用 程序 无 法 安装 或 运行 。 如 果 出 现 诸 如 “内 存 不 够 ”或 “不 能 继续 安装 ” 
等 错误 ， 请 尝试 执行 下 面 的 操作 ， 然 后 再 次 尝试 使 用 程序 。 

关闭 计算 机 上 运行 的 反 病 毒 软件 。 安 装 程序 有 时 像 病毒 在 活动 ， 可 能 让 计算 机 错误 地 认为 自己 受 
到 了 病毒 感染 。 

关闭 正在 运行 的 所 有 程序 。 运 行 的 程序 越 多 ， 可 供 其 他 程序 使 用 的 内 存 就 越 少 。 安 装 程序 通常 会 
更 新 文件 和 程序 ， 如 果 有 其 他 程序 在 运行 ， 安 装 可 能 无 法 正确 地 完成 。 

前 往 当 地 的 计算 机 商店 购买 内 存 条 。 必 须 承认 ， 这 是 一 种 极端 措施 ， 且 代价 较 高 。 然 而 ， 增 加 内 
存 对 提高 计算 机 速度 很 有 帮助 ， 让 你 能 够 同时 运行 更 多 的 程序 。 


客户 支持 


使 用 配套 光盘 时 遇 到 任何 麻烦 ， 可 致电 Wiley 产品 技术 支持 小 组 ( Product Technical Support )， 其 
电话 为 ( 800 ) 762-2974。 | 
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